Wieder gefälschte Google-Zertifikate - diesmal von Symantec

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Der Suchmaschinenkonzern Google hat wieder einmal ein Zertifikat entdeckt, das von unbefugter Seite aus für seine Domains ausgestellt wurde. Ausgestellt wurde dieses beim Security-Dienstleister Symantec, der sich nun natürlich in seiner Vertrauenswürdigkeit bedroht sieht und versucht, die schlimmsten Schäden zu verhindern.

Infografik: SSL/TLS und HeartbleedSSL und Heartbleed
Das fragliche TLS-Zertifikat war laut Google auf die Domains google.com und www.google.com ausgestellt. Entdeckt wurde es von Mitarbeitern des Unternehmens, als sie die Log-Files des Certificate Transparency-Systems auswerteten. Bei einer genaueren Untersuchung zeigte sich, dass das Zertifikat offenbar zu Testzwecken ausgestellt wurde und nur einen Tag lang gültig war. Signiert war es von der Symantec-Tochter Thawte.

Bei Symantec reagierte man umgehend, denn jedes Zögern kann hier dazu führen, dass dem Unternehmen faktisch ein wesentlicher Teil des Geschäftes ruiniert wird. Entsprechend versucht man nun mit möglichst weitgehender Transparenz dafür zu sorgen, dass das Vertrauen in die Firma nicht leidet. So räumte man ein, das bei einer Prüfung sogar drei falsch ausgestellte Zertifikate gefunden wurden. Die Beschäftigten, die sie unerlaubterweise ausgestellt hatten, habe man bereits entlassen und stehe mit den jeweiligen Domain-Inhabern in Kontakt.

Das Security-Unternehmen müsste im schlimmsten Fall damit rechnen, dass es zuerst bei Google und auch anderen Browser-Herstellern aus den Listen vertrauenswürdiger Zertifikat-Anbieter fliegt. Dies ist zuletzt dem chinesischen Aussteller CNNIC passiert. Anschließend würden die Nutzer bei jeder Webseite, die mit dem Zertifikat eines Symantec-Kunden arbeitet, davor gewarnt, dass die Sicherheit nicht gewährleistet werden kann - was recht schnell die Abwanderung aller Zertifikat-Käufer zur Folge hätte und der Geschäftsbereich ruiniert wäre. Da Symantec der zweitgrößte Anbieter von TLS-Zertifikaten weltweit ist, wäre der finanzielle Schaden riesig.

Google versucht seit einiger Zeit das Certificate Transparency-System am Markt durchzudrücken - bisher mit bescheidenem Erfolg. Die Technik soll dafür sorgen, dass neue Zertifikate nur dann anerkannt werden, wenn deren Erscheinen mit verschiedenen Vorzertifikaten in öffentlichen Quellen angekündigt wurde. Gefälschte Schlüssel sollen so bereits erkannt werden können, bevor sie tatsächlich zum Einsatz kommen könnten. Der Vorfall könnte nun dazu führen, dass auch andere Browser-Hersteller sich dem Verfahren schneller zuwenden - und dass Symantec, das dem System bisher kritisch gegenüberstand, wohl nicht mehr in der Position wäre, Argumente gegen dieses vorzubringen.

Zum Thema: Google reagiert jetzt mit dem Holzhammer auf Zertifikat-Missbrauch Hacker, Kryptographie, Code, Hex-Code Hacker, Kryptographie, Code, Hex-Code Public Domain
Diese Nachricht empfehlen
Kommentieren10
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!

Jetzt als Amazon Blitzangebot

Ab 05:15 Uhr Oehlbach Phaser Phasendetektor
Oehlbach Phaser Phasendetektor
Original Amazon-Preis
73,84
Im Preisvergleich ab
63,75
Blitzangebot-Preis
47,84
Ersparnis zu Amazon 35% oder 26

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Tipp einsenden