Das Ende tausender HTTPS-Zertifikate:
Private Schlüssel kursieren

Das bereits schwer angeschlagene Zertifikats-Geschäft, das einst zu Symantec gehörte, kommt auch nach dem Verkauf nicht in ruhigere Fahrwasser. Das offensichtlich völlig fehlende Verständnis des Chefs eines Resellers und unzureichende Sicherheits-Strukturen sorgen nun dafür, dass zehntausende Zertifikate als unsicher eingestuft werden müssen.
Verschlüsselung, Code, Kryptographie
Christian Ditaputratama (CC BY-SA 2.0)
Hintergrund der Geschichte war eine Diskussion zwischen dem Chef des britischen Zertifikat-Anbieters Trustico mit einem Manager des früheren Symantec-Resellers Digicert darüber, ob eine Reihe von Zertifikaten weiterhin als sicher angesehen werden können. Letzterer hatte in dem Gespräch immer wieder bezweifelt, dass die von seiner Firma beziehungsweise einem seiner Partner ausgegebenen Zertifikate vertrauenswürdig seien.

Um seine Argumente belegen zu können, schickte Trustico seinem Gesprächspartner am Ende schlicht die privaten Schlüssel zu, die zu diesen Kryptosignaturen passen. Die Keys decken dabei insgesamt rund 23.000 Zertifikate ab, berichtete das US-Magazin Ars Technica. In der Sicherheits-Branche ist dabei völlig unstrittig, dass spätestens der Verlust von privaten Schlüsseln quasi die größte Katastrophe für ein Security-Konzept ist.

Es sind Symantec-Altlasten

Die fraglichen Zertifikate wurden in einer Zeit ausgegeben, als Symantec noch der Root-CA hinter dem ganzen Prozess war. Unklar ist aktuell wohl noch, an welcher Stelle genau das Leck ist, über das die Keys nach Außen gelangten. Für die Frage, ob man es hier nun noch mit vertrauenswürdigen Strukturen zu tun hat, spielt das aber eine eher untergeordnete Rolle.

Bei Trustico geht man allerdings davon aus, dass die Probleme letztlich schon bei Symantec selbst lagen und dort einfach nicht ordentlich mit solch sensiblen Daten umgegangen wurde. Allerdings dürfte auch in der Kette der untergeordneten Anbieter einiges im Argen liegen, wenn die Probleme bis heute nicht aufgefallen sind. Symantec selbst musste sein Zertifikate-Geschäft im vergangenen Jahr abstoßen, nachdem diverse Sicherheitsmängel dafür sorgten, dass Google kurz davor stand, allen von dort stammenden Signaturen das Vertrauen zu entziehen - wodurch dann der Chrome-Browser alle darauf basierenden HTTPS-Verschlüsselungen als unsicher gekennzeichnet hätte.
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 07:20 Uhr Doqaus Bluetooth Kopfhörer Over EarDoqaus Bluetooth Kopfhörer Over Ear
Original Amazon-Preis
38,99
Im Preisvergleich ab
43,99
Blitzangebot-Preis
34,99
Ersparnis zu Amazon 10% oder 4
Im WinFuture Preisvergleich
Folgt uns auf Twitter
WinFuture bei Twitter
Interessante Artikel & Testberichte
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!