Categories: Sicherheit

Zertifikatsmissbrauch: Google droht Symantec

Google hat Symantec im Streit um Missbrauchsfälle rund um von Symantec ausgegebene Zertifikate für verschlüsselte Internetverbindungen ein Ultimatum gestellt. Entweder klärt Symantec den Fall gründlich auf und veröffentlicht die Ergebnisse, oder Google wird in Chrome vor Websites mit Symantec-Zertifikat warnen. Dem Sicherheitsunternehmen bleibt somit wohl keine Wahl: Für Symantecs Zertifikatsgeschäft könnten solche Warnungen im derzeit über alle Plattformen hinweg weltweit meistgenutzten Browser das Aus sein.

Die Zertifikate dienen der Verschlüsselung von HTTPS-Verbindungen mit Transport Layer Security. Der Inhaber kann damit eine fremde Domain imitieren oder deren verschlüsselten Traffic ausspionieren. Im konkreten Fall hatte ein Symantec-Angestellter nur für Tests vorgesehene Symantec-Zertifikate missbraucht. Symantec entließ den Mitarbeiter.

Seine anfängliche Darstellung des Sachverhalts erwies sich allerdings als lückenhaft. Vor rund fünf Wochen hieß es zunächst, es handle sich um 23 Testzertifikate für Domains, die unter anderem Google und Opera gehören, wie Ars Technica zusammenfasst. Google zweifelte diese Zahl an, und einige Wochen später räumte Symantec tatsächlich ein, es habe zusätzliche 164 Testzertifikate für 76 Domains entdeckt – sowie 2458 Zertifikate für nicht existierende Domains.

In seinem jetzigen Blogbeitrag nennt Google-Chrome-Entwickler Ryan Sleevi es „offensichtlich bedenklich“, dass eine Certificate Authority (kurz CA – eine Firma, die zur Ausgabe von Zertifikaten berechtigt ist) ein solches Problem über einen so langen Zeitraum habe. Im Namen von Google fordert er von Symantec, ab 1. Juni 2016 alle von ihm ausgegebenen Zertifikate öffentlich zu protokollieren. Diese Anforderung gilt sonst nur für Extended-Validation-Zertifikate.

Zusätzlich verlangt Google kurzfristig drei weitere Offenlegungen von Symantec. Erstens ist dies eine Analyse, warum die von Google entdeckten zusätzlichen Zertifikate nicht auch von Symantec bemerkt wurden. Zweitens soll das Sicherheitsunternehmen in jedem Fall einzeln erklären, wie die Verstöße gegen Sicherheitsrichtlinien zustande kamen. Und drittens „erbittet“ Google (wie Sleevi schreibt) eine detaillierte Skizze aller Maßnahmen, die Symantec zu ergreifen gedenkt, um einen Wiederholungsfall auszuschließen. Letztere Informationen könnten allerdings vertraulich sein, weshalb in diesem Fall eine Veröffentlichung erbeten werde.

Symantec hat bereits mit einem allgemein gehaltenen Kommentar reagiert. Darin räumt es die Sicherheitsprobleme ein. Es habe sich aber angemessen verhalten und die fraglichen Zertifikate zurückgezogen, soweit sich nicht ohnehin ausgelaufen waren, sowie die Browserhersteller um Aufnahme in eine schwarze Liste gebeten. Um ähnliche Fälle zu verhindern, habe man neue Werkzeuge, Richtlinien und Prozesse eingeführt sowie eine externe Firma mit einer unabhängigen Prüfung beauftragt.

Probleme mit gefälschten, missbrauchten und gestohlenen Zertifikaten häufen sich in den letzten Jahren. Seit April 2015 akzeptiert Google beispielsweise keine Zertifikate von CNNIC mehr. Ein ägyptisches Unternehmen hatte chinesische SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

14 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

14 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

15 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

15 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

17 Stunden ago