Google hat Symantec im Streit um Missbrauchsfälle rund um von Symantec ausgegebene Zertifikate für verschlüsselte Internetverbindungen ein Ultimatum gestellt. Entweder klärt Symantec den Fall gründlich auf und veröffentlicht die Ergebnisse, oder Google wird in Chrome vor Websites mit Symantec-Zertifikat warnen. Dem Sicherheitsunternehmen bleibt somit wohl keine Wahl: Für Symantecs Zertifikatsgeschäft könnten solche Warnungen im derzeit über alle Plattformen hinweg weltweit meistgenutzten Browser das Aus sein.
Seine anfängliche Darstellung des Sachverhalts erwies sich allerdings als lückenhaft. Vor rund fünf Wochen hieß es zunächst, es handle sich um 23 Testzertifikate für Domains, die unter anderem Google und Opera gehören, wie Ars Technica zusammenfasst. Google zweifelte diese Zahl an, und einige Wochen später räumte Symantec tatsächlich ein, es habe zusätzliche 164 Testzertifikate für 76 Domains entdeckt – sowie 2458 Zertifikate für nicht existierende Domains.
In seinem jetzigen Blogbeitrag nennt Google-Chrome-Entwickler Ryan Sleevi es „offensichtlich bedenklich“, dass eine Certificate Authority (kurz CA – eine Firma, die zur Ausgabe von Zertifikaten berechtigt ist) ein solches Problem über einen so langen Zeitraum habe. Im Namen von Google fordert er von Symantec, ab 1. Juni 2016 alle von ihm ausgegebenen Zertifikate öffentlich zu protokollieren. Diese Anforderung gilt sonst nur für Extended-Validation-Zertifikate.
Symantec hat bereits mit einem allgemein gehaltenen Kommentar reagiert. Darin räumt es die Sicherheitsprobleme ein. Es habe sich aber angemessen verhalten und die fraglichen Zertifikate zurückgezogen, soweit sich nicht ohnehin ausgelaufen waren, sowie die Browserhersteller um Aufnahme in eine schwarze Liste gebeten. Um ähnliche Fälle zu verhindern, habe man neue Werkzeuge, Richtlinien und Prozesse eingeführt sowie eine externe Firma mit einer unabhängigen Prüfung beauftragt.
Probleme mit gefälschten, missbrauchten und gestohlenen Zertifikaten häufen sich in den letzten Jahren. Seit April 2015 akzeptiert Google beispielsweise keine Zertifikate von CNNIC mehr. Ein ägyptisches Unternehmen hatte chinesische SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…