Der deutsche Sicherheitsforscher und Journalist Hanno Böck hat Symantec mithilfe von gefälschten Private Keys dazu gebracht, zwei legitime Domains sowie die zugehörigen Sicherheitszertifikate zu sperren. Dem US-Sicherheitsanbieter, der schon früher wegen seines Umgangs mit Sicherheitszertifikaten kritisiert wurde, wirft er vor, die Sperrung ohne eine ausreichende Prüfung der vorgelegten Beweise vorgenommen zu haben.
Während Comodo nicht reagierte, teilte ihm Symantec mit, es habe sein Zertifikat für ungültig erklärt. „Es wurde niemandem geschadet, weil das Zertifikat nur für meine eigene Test-Domain ausgestellt wurde“, schreibt Böck in seinem Blog. „Aber ich hätte auch die Privaten Schlüssel für die Zertifikate anderer Leute fälschen können. Symantec hätte sie wahrscheinlich ebenfalls zurückgezogen und damit einen Ausfall dieser Seiten verursacht. Ich hätte sogar falsche Schlüssel für Symantecs eigenes Zertifikat erstellen können.“
„Symantec hat einen großen Fehler gemacht, weil es ein Zertifikat aufgrund vollständig gefälschter Beweise zurückgezogen hat“, ergänzte Böck. Mit seinem Test habe er herausfinden wollen, wie genau die Aussteller von Zertifikaten kompromittierte Schlüssel überprüfen. „Natürlich würde man erwarten, dass sie kryptografisch prüfen, ob ein veröffentlichter Schlüssel tatsächlich der private Schlüssel für ein bestimmtes Zertifikat ist.“ Genau das sei aber im Fall von Symantec nicht geschehen.
„Dafür gibt es kaum eine Entschuldigung und es zeigt, dass sie eine Certificate Authority ohne das benötigte kryptografische Wissen betreiben.“ Auch nachdem er Symantec mitgeteilt habe, dass die privaten Schlüssel gefälscht waren, habe das Unternehmen die Sperre seines Zertifikats nicht aufgehoben.
Google hatte Symantec bereits im März gravierende Fehler bei der Vergabe von Sicherheitszertifikaten vorgeworfen. Die Zertifikate wiederum bestätigen Nutzern eine per TLS/SSL verschlüsselte HTTP-Verbindung sowie die digitale Identität einer Website. Symantecs Vergabepraxis sowie mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen soll zur Ausstellung fehlerhafter Zertifikate beigetragen haben. Als Folge kündigte Google an, die Gültigkeit von Symantec-Zertifikaten schrittweise zu verringern.
Symantec kündigte daraufhin eine unabhängige Untersuchung und mehr Transparenz an. Anfang der Woche bat es zudem um eine Fristverlängerung für Zertifikate, die vor Juni 2016 erstellt wurden. Google und auch Mozilla sollen diesen Zertifikaten mit ihren Browsern Chrome und Firefox erst ab dem 1. Mai 2018 und nicht schon ab 31. August das Vertrauen entziehen. Zuletzt machen Gerüchte die Runde, wonach Symantec versucht, sein Zertifikatsgeschäft zu veräußern.
Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.
[mit Material von Chris Duckett, ZDNet.com]
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…