Kennen Sie Rabattwelt?
Deals & Gutscheine
shopwelt.de Newsletter?
Weitere Vergleiche

› KFZ-Versicherungen...
› Strom-Tarife...
› Gas-Tarife...
› DSL-Tarife...
› Mobilfunk-Tarife...

Google greift durch: TLS-Zertifikatsmissbrauch durch Symantec im großen Stil

Bereits im September hatte Chrome Alarm geschlagen und Google über unberechtigte TLS Zertifikate informiert. Erst handelte es sich laut Symantec um 23 unberechtigte Testzertifikate, zwischenzeitlich ist die Anzahl auf weit über 2.000 Stück nach oben geschnellt.

Google setzt nun dem Anbieter von Antiviren-Software ein Ultimatum, zur lückenlosen Aufklärung dieses Vorfalls, anderenfalls wird Google in Chrome vor Websites mit Symantec-Zertifikat warnen. Für Symantec, der zweitgrößten TLS-Zertifizierungsstelle nach Comodo, könnte der Ausschluss vom weltweit meistgenutztem Browser das Ende bedeuten.

Die Zertifikate dienen der Verschlüsselung von HTTPS-Verbindungen mit Transport Layer Security. Wäre ein derartiges Zertifikat nach außen gelangt, hätte sich ein Angreifer unbemerkt in den verschlüsselten HTTPS-Datenverkehr einklinken und diesen im Klartext mitlesen und manipulieren können.

Laut Symantec hatten alle Zertifikate nur eine kurze Gültigkeit und zu keinem Zeitpunkt hätten unberechtigte Personen Kontrolle über die privaten Schlüssel gehabt. Die Mitarbeiter, die für die Ausstellung der Zertifikate zuständig waren, hat Symantec nach eigenen Angaben inzwischen entlassen.

Symantecs Umgang mit dem Vorfall ist in den Augen von Google unbefriedigend und lückenhaft. Zu Beginn gab das Unternehmen an, es handele sich um 23 Testzertifikate für Domains, die unter anderem Google und Opera gehören. Google zweifelte diese Zahl an und überprüfte selbst die Certificate-Transparency-Logs - man fand zahlreiche weitere unberechtigt ausgestellte Zertifikate. Daraufhin aktualisierte Symantec seinen Bericht und räumt nun ein, es habe zusätzliche 164 Testzertifikate für 76 Domains entdeckt, sowie 2458 Zertifikate für nicht existierende Domains.

Seit April 2014 sehen die sogenannten Baseline Requirements des CA/Browser-Forums vor, dass die Ausstellung von Zertifikaten für nicht existierende Domains nicht erlaubt ist.

"Es ist offensichtlich beunruhigend, dass eine Zertifizierungsstelle so lange Probleme hat und dass sie nicht in der Lage ist, das Ausmaß festzustellen, nachdem sie alarmiert wurden und einen Audit durchgeführt haben", schreibt Google-Entwickler Ryan Sleevi dazu in einem Blogpost des Google-Sicherheitsteams.

Im Namen von Google fordert er von Symantec, ab 1. Juni 2016 alle von ihnen ausgegebenen Zertifikate öffentlich zu protokollieren. Bisher verlangt Google die Nutzung von Certificate Transparency nur für sogenannte Extended-Validation-Zertifikate.

Um ähnliche Fälle zu verhindern, teilte Symantecs mit, habe man neue Werkzeuge, Richtlinien und Prozesse eingeführt sowie eine externe Firma mit einer unabhängigen Prüfung beauftragt.

Fehler melden!
Artikel mit Freunden teilen
shopwelt.de - Team | 30.10.2015
Weitere interessante Artikel
Newsletter:
* Preise können sich seit der letzten Aktualisierung erhöht haben! Alle Preise inkl. MwSt.
© 2016 Copyright by eVendi GmbH & Co. KG