Wieder gefälschte Google-Zertifikate - diesmal von Symantec

Der Suchmaschinenkonzern Google hat wieder einmal ein Zertifikat entdeckt, das von unbefugter Seite aus für seine Domains ausgestellt wurde. Ausgestellt wurde dieses beim Security-Dienstleister Symantec, der sich nun natürlich in seiner Vertrauenswürdigkeit bedroht sieht und versucht, die schlimmsten Schäden zu verhindern.
Infografik: SSL/TLS und Heartbleed
Das fragliche TLS-Zertifikat war laut Google auf die Domains google.com und www.google.com ausgestellt. Entdeckt wurde es von Mitarbeitern des Unternehmens, als sie die Log-Files des Certificate Transparency-Systems auswerteten. Bei einer genaueren Untersuchung zeigte sich, dass das Zertifikat offenbar zu Testzwecken ausgestellt wurde und nur einen Tag lang gültig war. Signiert war es von der Symantec-Tochter Thawte.

Bei Symantec reagierte man umgehend, denn jedes Zögern kann hier dazu führen, dass dem Unternehmen faktisch ein wesentlicher Teil des Geschäftes ruiniert wird. Entsprechend versucht man nun mit möglichst weitgehender Transparenz dafür zu sorgen, dass das Vertrauen in die Firma nicht leidet. So räumte man ein, das bei einer Prüfung sogar drei falsch ausgestellte Zertifikate gefunden wurden. Die Beschäftigten, die sie unerlaubterweise ausgestellt hatten, habe man bereits entlassen und stehe mit den jeweiligen Domain-Inhabern in Kontakt.

Das Security-Unternehmen müsste im schlimmsten Fall damit rechnen, dass es zuerst bei Google und auch anderen Browser-Herstellern aus den Listen vertrauenswürdiger Zertifikat-Anbieter fliegt. Dies ist zuletzt dem chinesischen Aussteller CNNIC passiert. Anschließend würden die Nutzer bei jeder Webseite, die mit dem Zertifikat eines Symantec-Kunden arbeitet, davor gewarnt, dass die Sicherheit nicht gewährleistet werden kann - was recht schnell die Abwanderung aller Zertifikat-Käufer zur Folge hätte und der Geschäftsbereich ruiniert wäre. Da Symantec der zweitgrößte Anbieter von TLS-Zertifikaten weltweit ist, wäre der finanzielle Schaden riesig.

Google versucht seit einiger Zeit das Certificate Transparency-System am Markt durchzudrücken - bisher mit bescheidenem Erfolg. Die Technik soll dafür sorgen, dass neue Zertifikate nur dann anerkannt werden, wenn deren Erscheinen mit verschiedenen Vorzertifikaten in öffentlichen Quellen angekündigt wurde. Gefälschte Schlüssel sollen so bereits erkannt werden können, bevor sie tatsächlich zum Einsatz kommen könnten. Der Vorfall könnte nun dazu führen, dass auch andere Browser-Hersteller sich dem Verfahren schneller zuwenden - und dass Symantec, das dem System bisher kritisch gegenüberstand, wohl nicht mehr in der Position wäre, Argumente gegen dieses vorzubringen.

Zum Thema: Google reagiert jetzt mit dem Holzhammer auf Zertifikat-Missbrauch Hacker, Code, Kryptographie, Hex-Code Public Domain