Categories: SicherheitSicherheitsmanagement

Symantec sperrt fehlerhafte Sicherheitszertifikate

Symantec hat bestätigt, dass es erneut gezwungen war, mehrere fehlerhafte Sicherheitszertifikate zu sperren. Zuvor hatte Andrew Ayer, Gründer von SSLMate, den Missbrauch von mehreren von Symantec ausgestellten Zertifikaten gemeldet, unter anderem für mehrere „test.com“-Domains wie test.com, test1.com und test2.com.

„Mit der Ausnahme von test4.com und test8.com sind diese Domains auf unterschiedliche Eigentümer registriert und sie scheinen in Bezug auf den Eigentümer und die Nutzung in keinem Zusammenhang zueinander zu stehen“, schreibt Ayer in einer Mailing-Liste. Von daher sei es unwahrscheinlich, dass die Domaininhaber eine gemeinsame Nutzung der Zertifikate autorisiert hätten.

Ausgestellt wurden die fraglichen Zertifikate im Oktober und November 2016. Steve Medin, Produktmanager bei Symantec, räumte den Fehler am 21. Januar ein. Demnach wurden sie durch einen von WebTrust geprüften Symantec-Partner ausgegeben. „Wir haben die Privilegien des Partners eingeschränkt, um die Ausstellung weiterer Zertifikate zu unterbinden, während wir die Angelegenheit prüfen“, antwortete Medin.

Zudem seien alle zum Zeitpunkt der Meldung noch gültigen Zertifikate gemäß den Richtlinien innerhalb von 24 Stunden widerrufen worden. Symantec habe seine Untersuchungen aber noch nicht abgeschlossen, so Medin weiter. Gegenüber The Register erklärte er, Symantec werde nach Abschluss der Ermittlungen einen vollständigen Bericht veröffentlichen.

Loading ...

Es ist nicht das erste Mal, dass Symantec fehlerhafte Sicherheitszertifikate ausgestellt hat. Die Zertifikate bestätigen Nutzern unter anderem, dass sie eine per SSL verschlüsselte HTTP-Verbindung nutzen sowie die digitale Identität einer Website. 2015 stufte Google für Chrome und Android ein Root-Zertifikat von Symantec als nicht vertrauenswürdig ein, weil es einen RSA-Schlüssel mit einer Länge von 1024 Bit enthielt, der nicht mehr als sicher angesehen wird und zu dem Zeitpunkt nicht mehr den Vorgaben des CA/Browser Forum entsprach.

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

>>> Jetzt herunterladen! >>>

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.