Das Ende tausender HTTPS-Zertifikate: Private Schlüssel kursieren

Verschlüsselung, Kryptographie, Code Bildquelle: Christian Ditaputratama (CC BY-SA 2.0)
Das bereits schwer angeschlagene Zertifikats-Geschäft, das einst zu Symantec gehörte, kommt auch nach dem Verkauf nicht in ruhigere Fahrwasser. Das offensichtlich völlig fehlende Verständnis des Chefs eines Resellers und unzureichende Sicherheits-Strukturen sorgen nun dafür, dass zehntausende Zertifikate als unsicher eingestuft werden müssen. Hintergrund der Geschichte war eine Diskussion zwischen dem Chef des britischen Zertifikat-Anbieters Trustico mit einem Manager des früheren Symantec-Resellers Digicert darüber, ob eine Reihe von Zertifikaten weiterhin als sicher angesehen werden können. Letzterer hatte in dem Gespräch immer wieder bezweifelt, dass die von seiner Firma beziehungsweise einem seiner Partner ausgegebenen Zertifikate vertrauenswürdig seien.

Um seine Argumente belegen zu können, schickte Trustico seinem Gesprächspartner am Ende schlicht die privaten Schlüssel zu, die zu diesen Kryptosignaturen passen. Die Keys decken dabei insgesamt rund 23.000 Zertifikate ab, berichtete das US-Magazin Ars Technica. In der Sicherheits-Branche ist dabei völlig unstrittig, dass spätestens der Verlust von privaten Schlüsseln quasi die größte Katastrophe für ein Security-Konzept ist.

Es sind Symantec-Altlasten

Die fraglichen Zertifikate wurden in einer Zeit ausgegeben, als Symantec noch der Root-CA hinter dem ganzen Prozess war. Unklar ist aktuell wohl noch, an welcher Stelle genau das Leck ist, über das die Keys nach Außen gelangten. Für die Frage, ob man es hier nun noch mit vertrauenswürdigen Strukturen zu tun hat, spielt das aber eine eher untergeordnete Rolle.

Bei Trustico geht man allerdings davon aus, dass die Probleme letztlich schon bei Symantec selbst lagen und dort einfach nicht ordentlich mit solch sensiblen Daten umgegangen wurde. Allerdings dürfte auch in der Kette der untergeordneten Anbieter einiges im Argen liegen, wenn die Probleme bis heute nicht aufgefallen sind. Symantec selbst musste sein Zertifikate-Geschäft im vergangenen Jahr abstoßen, nachdem diverse Sicherheitsmängel dafür sorgten, dass Google kurz davor stand, allen von dort stammenden Signaturen das Vertrauen zu entziehen - wodurch dann der Chrome-Browser alle darauf basierenden HTTPS-Verschlüsselungen als unsicher gekennzeichnet hätte. Verschlüsselung, Kryptographie, Code Verschlüsselung, Kryptographie, Code Christian Ditaputratama (CC BY-SA 2.0)
Diese Nachricht empfehlen
Kommentieren16
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

Tipp einsenden