Symantec sperrt fehlerhafte Sicherheitszertifikate

Sie stammen von einem von WebTrust geprüften Partner. Den Missbrauch der Zeritifikate meldet ein unabhängiger Sicherheitsforscher. Symantec sperrt die Zertifikate innerhalb von 24 Stunden nach Erhalt der Meldung.

Symantec hat bestätigt, dass es erneut gezwungen war, mehrere fehlerhafte Sicherheitszertifikate zu sperren. Zuvor hatte Andrew Ayer, Gründer von SSLMate, den Missbrauch von mehreren von Symantec ausgestellten Zertifikaten gemeldet, unter anderem für mehrere „test.com“-Domains wie test.com, test1.com und test2.com.

(Bild: Shutterstock/Cousin_Avi)„Mit der Ausnahme von test4.com und test8.com sind diese Domains auf unterschiedliche Eigentümer registriert und sie scheinen in Bezug auf den Eigentümer und die Nutzung in keinem Zusammenhang zueinander zu stehen“, schreibt Ayer in einer Mailing-Liste. Von daher sei es unwahrscheinlich, dass die Domaininhaber eine gemeinsame Nutzung der Zertifikate autorisiert hätten.

Ausgestellt wurden die fraglichen Zertifikate im Oktober und November 2016. Steve Medin, Produktmanager bei Symantec, räumte den Fehler am 21. Januar ein. Demnach wurden sie durch einen von WebTrust geprüften Symantec-Partner ausgegeben. „Wir haben die Privilegien des Partners eingeschränkt, um die Ausstellung weiterer Zertifikate zu unterbinden, während wir die Angelegenheit prüfen“, antwortete Medin.

Zudem seien alle zum Zeitpunkt der Meldung noch gültigen Zertifikate gemäß den Richtlinien innerhalb von 24 Stunden widerrufen worden. Symantec habe seine Untersuchungen aber noch nicht abgeschlossen, so Medin weiter. Gegenüber The Register erklärte er, Symantec werde nach Abschluss der Ermittlungen einen vollständigen Bericht veröffentlichen.

Umfrage

Welchen Stellenwert hat Nachhaltigkeit für IT-Anschaffungen Ihres Unternehmens?

Ergebnisse anzeigen

Loading ... Loading ...

Es ist nicht das erste Mal, dass Symantec fehlerhafte Sicherheitszertifikate ausgestellt hat. Die Zertifikate bestätigen Nutzern unter anderem, dass sie eine per SSL verschlüsselte HTTP-Verbindung nutzen sowie die digitale Identität einer Website. 2015 stufte Google für Chrome und Android ein Root-Zertifikat von Symantec als nicht vertrauenswürdig ein, weil es einen RSA-Schlüssel mit einer Länge von 1024 Bit enthielt, der nicht mehr als sicher angesehen wird und zu dem Zeitpunkt nicht mehr den Vorgaben des CA/Browser Forum entsprach.

ANZEIGE

Server-Hosting: Sicherheit und Datenschutz Made in Germany

Sicherheit und Datenschutz sind zwei wesentliche Kriterien bei der Auswahl eines virtuellen Servers. Mit zwei nach ISO 27001 zertifizierten Hochleistungsrechenzentren in Deutschland bietet STRATO nicht nur strenge Sicherheitsmaßnahmen, sondern auch Datenschutz nach deutschem Recht. Zudem beinhalten die V-Server zahlreiche Komfortfeatures.

[mit Material von Charlie Osborne, ZDNet.com]

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Browser, Internet, Security, Sicherheit, Symantec, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Symantec sperrt fehlerhafte Sicherheitszertifikate

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *