Abo
  • Services:
Anzeige
Ausschnitt aus dem Certificate Transparency Log
Ausschnitt aus dem Certificate Transparency Log (Bild: Screenshot Golem.de)

Überwachung: Aufregung um Intermediate-Zertifikat für Bluecoat

Ausschnitt aus dem Certificate Transparency Log
Ausschnitt aus dem Certificate Transparency Log (Bild: Screenshot Golem.de)

Kritiker sprechen von unbegrenzten Überwachungsmöglichkeiten, Symantec und Bluecoat von internen Tests: Dass Bluecoat mit einem neuen TLS-Zertifikat faktisch als Zertifikatsausgabestelle handeln kann, sorgt für Diskussionen.

Wie jetzt erst bekanntwurde, hat das umstrittene Überwachungstechnikunternehmen Bluecoat aus den USA von der Sicherheitsfirma Symantec im vergangenen Herbst ein Zertifikat ausgestellt bekommen, mit dem das Unternehmen faktisch als Intermediate-Certificate-Authority handeln könnte, also gültige Zertifikate für HTTPS-Verbindungen ausstellen könnte.

Anzeige

Kritiker befürchten nun, Bluecoat könnte über Man-in-the-Middle-Angriffe mit vertrauten Zertifikaten den eigentlich verschlüsselten Webtraffic von Nutzern mitlesen. Das Unternehmen ist ohnehin umstritten, weil die Deep-Packet-Inspection-Technologie auch in autoritäre Länder wie Syrien verkauft wurde und dort zur Überwachung von Dissidenten genutzt werden kann.

Über das neue Zertifikat hatte zunächst Filippo Valsorda in seinem Blog berichtet. Es wurde im vergangenen September ausgestellt. Bislang gibt es keine Hinweise darauf, dass mit dem Zertifikat tatsächlich gültige Zertifikate signiert wurden. Valsorda arbeitet für Cloudflare und hat im Zuge der Heartbleed-Entdeckungen eine Testwebseite aufgesetzt. In dem Blogpost erklärt er auch, wie Nutzer dem Bluecoat-Zertifikat das Vertrauen entziehen können.

Kritiker befürchten Überwachung

Die Befürchtung von Kritikern ist, dass Bluecoat mit dem Intermediate-Zertifikat in die Lage versetzt würde, HTTPS-Verbindungen von Nutzern anzugreifen und so Überwachungsmaßnahmen durchführen könnte. Sowohl Bluecoat als auch Symantec selbst widersprechen dieser Kritik: Das Zertifikat werde von Bluecoat nur zu internen Testzwecken eingesetzt und nicht genutzt, um selbstständig Zertifikate auszustellen.

"In Übereinstimmung mit den Protokollen hatte Symantec zu jeder Zeit die volle Kontrolle über den privaten Schlüssel und Bluecoat hatte niemals Zugriff darauf. Bluecoat hat bestätigt, dass das Zertifikat nur für interne Testzwecke eingesetzt wurde und nicht mehr genutzt wird", heißt es in einem Statement der beiden Unternehmen. "Spekulationen" um eine missbräuchliche Nutzung seien aus diesem Grund nicht fundiert.

Nicht nur Bluecoat ist umstritten, auch Symantec musste sich wegen seiner Zertifikatsvergabepraxis schon öffentlich rechtfertigen. Das Unternehmen hatte im vergangenen Jahr mehr als 2.000 TLS-Zertifikate unberechtigt ausgestellt und wurde dafür von Google kritisiert. Google hatte daraufhin eine unabhängige Untersuchung des Vorganges gefordert, außerdem müsse Symantec künftige Zertifikate bei dem Certificate-Transparency-System registrieren.

Nachtrag vom 30. Mai 2016, 13:08 Uhr

Der Einstieg in den Artikel wurde präzisiert.


eye home zur Startseite
My1 30. Mai 2016

es ist aber auch risky. was wenn ich ne domain kaufe dessen vorbesitzer HPKP drin hatte...

pythoneer 30. Mai 2016

LOL :D

dasa 30. Mai 2016

Wenn du auf die Verwendung einer CSR verzichtest und somit alles von der CA erstellen...

My1 30. Mai 2016

Naja n 10 jahre public intermediate is mehr als genug um das zu widerlegen.

Wallbreaker 30. Mai 2016

Und ich dachte schon es wäre etwas Wichtiges betroffen. Ihre mit Lücken verseuchte...



Anzeige

Stellenmarkt
  1. Landeshauptstadt München, München
  2. Bechtle Onsite Services GmbH, Wolfsburg
  3. über Hays AG, Raum Frankfurt
  4. Giesecke+Devrient GmbH, München


Anzeige
Blu-ray-Angebote
  1. 299,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 17,49€)

Folgen Sie uns
       


  1. Darpa

    US-Militär will Pflanzen als Schadstoffsensoren einsetzen

  2. Snpr External Graphics Enclosure

    KFA2s Grafikbox samt Geforce GTX 1060 kostet 500 Euro

  3. IOS 11 und iPhone X

    Das Super-Retina-Display braucht nur wenige Anpassungen

  4. Polyphony Digital

    GT Sport bekommt Einzelspielerliga

  5. Smartphone-Tarife

    Congstar wertet Prepaid-Pakete auf

  6. Rauschgifthandel

    BKA nimmt "Top-Verkäufer" aus dem Darknet fest

  7. Toyota

    Roboter T-HR3 meldet sich zum Arbeitseinsatz

  8. FixFifa

    Fans von Fifa 18 drohen mit Boykott

  9. Samsung

    Erste Details zum Galaxy S9

  10. Cyber Monday

    Streiks an drei Amazon-Standorten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  2. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: Empfänger

    Sector7 | 13:54

  2. Re: Welche Lobby?

    mnementh | 13:53

  3. Re: Notruf: Seitentaste und Lautstärke - Lustig...

    Peace Р| 13:53

  4. Re: Generelles Problem

    RheinPirat | 13:51

  5. Re: Warum braucht ein Zweirad der Zukunft

    dEEkAy | 13:49


  1. 12:56

  2. 12:30

  3. 11:59

  4. 11:51

  5. 11:45

  6. 11:30

  7. 11:02

  8. 10:39


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel