Abo
  • Services:
Anzeige
Ausschnitt aus dem Certificate Transparency Log
Ausschnitt aus dem Certificate Transparency Log (Bild: Screenshot Golem.de)

Überwachung: Aufregung um Intermediate-Zertifikat für Bluecoat

Ausschnitt aus dem Certificate Transparency Log
Ausschnitt aus dem Certificate Transparency Log (Bild: Screenshot Golem.de)

Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.

Wie jetzt erst bekanntwurde, hat das umstrittene Überwachungstechnikunternehmen Bluecoat aus den USA von der Sicherheitsfirma Symantec im vergangenen Herbst ein Zertifikat ausgestellt bekommen, mit dem das Unternehmen faktisch als Intermediate-Certificate-Authority handeln könnte, also gültige Zertifikate für HTTPS-Verbindungen ausstellen könnte.

Anzeige

Kritiker befürchten nun, Bluecoat könnte über Man-in-the-Middle-Angriffe mit vertrauten Zertifikaten den eigentlich verschlüsselten Webtraffic von Nutzern mitlesen. Das Unternehmen ist ohnehin umstritten, weil die Deep-Packet-Inspection-Technologie auch in autoritäre Länder wie Syrien verkauft wurde und dort zur Überwachung von Dissidenten genutzt werden kann.

Über das neue Zertifikat hatte zunächst Filippo Valsorda in seinem Blog berichtet. Es wurde im vergangenen September ausgestellt. Bislang gibt es keine Hinweise darauf, dass mit dem Zertifikat tatsächlich gültige Zertifikate signiert wurden. Valsorda arbeitet für Cloudflare und hat im Zuge der Heartbleed-Entdeckungen eine Testwebseite aufgesetzt. In dem Blogpost erklärt er auch, wie Nutzer dem Bluecoat-Zertifikat das Vertrauen entziehen können.

Kritiker befürchten Überwachung

Die Befürchtung von Kritikern ist, dass Bluecoat mit dem Intermediate-Zertifikat in die Lage versetzt würde, HTTPS-Verbindungen von Nutzern anzugreifen und so Überwachungsmaßnahmen durchführen könnte. Sowohl Bluecoat als auch Symantec selbst widersprechen dieser Kritik: Das Zertifikat werde von Bluecoat nur zu internen Testzwecken eingesetzt und nicht genutzt, um selbstständig Zertifikate auszustellen.

"In Übereinstimmung mit den Protokollen hatte Symantec zu jeder Zeit die volle Kontrolle über den privaten Schlüssel und Bluecoat hatte niemals Zugriff darauf. Bluecoat hat bestätigt, dass das Zertifikat nur für interne Testzwecke eingesetzt wurde und nicht mehr genutzt wird", heißt es in einem Statement der beiden Unternehmen. "Spekulationen" um eine missbräuchliche Nutzung seien aus diesem Grund nicht fundiert.

Nicht nur Bluecoat ist umstritten, auch Symantec musste sich wegen seiner Zertifikatsvergabepraxis schon öffentlich rechtfertigen. Das Unternehmen hatte im vergangenen Jahr mehr als 2.000 TLS-Zertifikate unberechtigt ausgestellt und wurde dafür von Google kritisiert. Google hatte daraufhin eine unabhängige Untersuchung des Vorganges gefordert, außerdem müsse Symantec künftige Zertifikate bei dem Certificate-Transparency-System registrieren.

Nachtrag vom 30. Mai 2016, 13:08 Uhr

Der Einstieg in den Artikel wurde präzisiert.


eye home zur Startseite
My1 30. Mai 2016

es ist aber auch risky. was wenn ich ne domain kaufe dessen vorbesitzer HPKP drin hatte...

pythoneer 30. Mai 2016

LOL :D

dasa 30. Mai 2016

Wenn du auf die Verwendung einer CSR verzichtest und somit alles von der CA erstellen...

My1 30. Mai 2016

Naja n 10 jahre public intermediate is mehr als genug um das zu widerlegen.

Wallbreaker 30. Mai 2016

Und ich dachte schon es wäre etwas Wichtiges betroffen. Ihre mit Lücken verseuchte...



Anzeige

Stellenmarkt
  1. censhare AG, München
  2. MED-EL Medical Electronics, Innsbruck (Österreich)
  3. USU AG, Möglingen bei Stuttgart
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Spiele-Angebote
  1. 69,99€ (Release 31.03.)
  2. 4,99€
  3. 6,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Matrix Voice

    Preiswerter mit Spracherkennung experimentieren

  2. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  3. Deep Learning

    Wenn die KI besser prügelt als Menschen

  4. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  5. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  6. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  7. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  8. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  9. Trappist-1

    Der Zwerg und die sieben Planeten

  10. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Merkels NSA-Vernehmung: Die unerträgliche Uninformiertheit der Kanzlerin
Merkels NSA-Vernehmung
Die unerträgliche Uninformiertheit der Kanzlerin
  1. München Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  2. US-Präsident Zuck it, Trump!
  3. Glasfaser Nun hängt die Kabel doch endlich auf!

Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Noch 100 Tage Unitymedia schaltet Analogfernsehen schrittweise ab
  2. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  3. Kabelnetz Unitymedia hat neue Preise für Internetzugänge

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

  1. Re: xD ein Smart für 22.000¤

    User_x | 23:57

  2. Re: Technologieführer Daimler

    bplhkp | 23:55

  3. Re: "Eigentlich ist sie sehr viel flexibler als...

    Meisterqn | 23:51

  4. Re: Etat der Polizei

    cpt.dirk | 23:43

  5. Eigentlich hat sowas in einem Kinderzimmer nichts...

    Robert Hab | 23:42


  1. 17:37

  2. 17:26

  3. 16:41

  4. 16:28

  5. 15:45

  6. 15:26

  7. 15:13

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel