Zertifikatsmissbrauch: Google droht Symantec

Google hat Symantec im Streit um Missbrauchsfälle rund um von Symantec ausgegebene Zertifikate für verschlüsselte Internetverbindungen ein Ultimatum gestellt. Entweder klärt Symantec den Fall gründlich auf und veröffentlicht die Ergebnisse, oder Google wird in Chrome vor Websites mit Symantec-Zertifikat warnen. Dem Sicherheitsunternehmen bleibt somit wohl keine Wahl: Für Symantecs Zertifikatsgeschäft könnten solche Warnungen im derzeit über alle Plattformen hinweg weltweit meistgenutzten Browser das Aus sein.

Die Zertifikate dienen der Verschlüsselung von HTTPS-Verbindungen mit Transport Layer Security. Der Inhaber kann damit eine fremde Domain imitieren oder deren verschlüsselten Traffic ausspionieren. Im konkreten Fall hatte ein Symantec-Angestellter nur für Tests vorgesehene Symantec-Zertifikate missbraucht. Symantec entließ den Mitarbeiter.

Seine anfängliche Darstellung des Sachverhalts erwies sich allerdings als lückenhaft. Vor rund fünf Wochen hieß es zunächst, es handle sich um 23 Testzertifikate für Domains, die unter anderem Google und Opera gehören, wie Ars Technica zusammenfasst. Google zweifelte diese Zahl an, und einige Wochen später räumte Symantec tatsächlich ein, es habe zusätzliche 164 Testzertifikate für 76 Domains entdeckt – sowie 2458 Zertifikate für nicht existierende Domains.

In seinem jetzigen Blogbeitrag nennt Google-Chrome-Entwickler Ryan Sleevi es „offensichtlich bedenklich“, dass eine Certificate Authority (kurz CA – eine Firma, die zur Ausgabe von Zertifikaten berechtigt ist) ein solches Problem über einen so langen Zeitraum habe. Im Namen von Google fordert er von Symantec, ab 1. Juni 2016 alle von ihm ausgegebenen Zertifikate öffentlich zu protokollieren. Diese Anforderung gilt sonst nur für Extended-Validation-Zertifikate.

Zusätzlich verlangt Google kurzfristig drei weitere Offenlegungen von Symantec. Erstens ist dies eine Analyse, warum die von Google entdeckten zusätzlichen Zertifikate nicht auch von Symantec bemerkt wurden. Zweitens soll das Sicherheitsunternehmen in jedem Fall einzeln erklären, wie die Verstöße gegen Sicherheitsrichtlinien zustande kamen. Und drittens „erbittet“ Google (wie Sleevi schreibt) eine detaillierte Skizze aller Maßnahmen, die Symantec zu ergreifen gedenkt, um einen Wiederholungsfall auszuschließen. Letztere Informationen könnten allerdings vertraulich sein, weshalb in diesem Fall eine Veröffentlichung erbeten werde.

Symantec hat bereits mit einem allgemein gehaltenen Kommentar reagiert. Darin räumt es die Sicherheitsprobleme ein. Es habe sich aber angemessen verhalten und die fraglichen Zertifikate zurückgezogen, soweit sich nicht ohnehin ausgelaufen waren, sowie die Browserhersteller um Aufnahme in eine schwarze Liste gebeten. Um ähnliche Fälle zu verhindern, habe man neue Werkzeuge, Richtlinien und Prozesse eingeführt sowie eine externe Firma mit einer unabhängigen Prüfung beauftragt.

Probleme mit gefälschten, missbrauchten und gestohlenen Zertifikaten häufen sich in den letzten Jahren. Seit April 2015 akzeptiert Google beispielsweise keine Zertifikate von CNNIC mehr. Ein ägyptisches Unternehmen hatte chinesische SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de