Google hat Symantec im Streit um Missbrauchsfälle rund um von Symantec ausgegebene Zertifikate für verschlüsselte Internetverbindungen ein Ultimatum gestellt. Entweder klärt Symantec den Fall gründlich auf und veröffentlicht die Ergebnisse, oder Google wird in Chrome vor Websites mit Symantec-Zertifikat warnen. Dem Sicherheitsunternehmen bleibt somit wohl keine Wahl: Für Symantecs Zertifikatsgeschäft könnten solche Warnungen im derzeit über alle Plattformen hinweg weltweit meistgenutzten Browser das Aus sein.
Seine anfängliche Darstellung des Sachverhalts erwies sich allerdings als lückenhaft. Vor rund fünf Wochen hieß es zunächst, es handle sich um 23 Testzertifikate für Domains, die unter anderem Google und Opera gehören, wie Ars Technica zusammenfasst. Google zweifelte diese Zahl an, und einige Wochen später räumte Symantec tatsächlich ein, es habe zusätzliche 164 Testzertifikate für 76 Domains entdeckt – sowie 2458 Zertifikate für nicht existierende Domains.
In seinem jetzigen Blogbeitrag nennt Google-Chrome-Entwickler Ryan Sleevi es „offensichtlich bedenklich“, dass eine Certificate Authority (kurz CA – eine Firma, die zur Ausgabe von Zertifikaten berechtigt ist) ein solches Problem über einen so langen Zeitraum habe. Im Namen von Google fordert er von Symantec, ab 1. Juni 2016 alle von ihm ausgegebenen Zertifikate öffentlich zu protokollieren. Diese Anforderung gilt sonst nur für Extended-Validation-Zertifikate.
Symantec hat bereits mit einem allgemein gehaltenen Kommentar reagiert. Darin räumt es die Sicherheitsprobleme ein. Es habe sich aber angemessen verhalten und die fraglichen Zertifikate zurückgezogen, soweit sich nicht ohnehin ausgelaufen waren, sowie die Browserhersteller um Aufnahme in eine schwarze Liste gebeten. Um ähnliche Fälle zu verhindern, habe man neue Werkzeuge, Richtlinien und Prozesse eingeführt sowie eine externe Firma mit einer unabhängigen Prüfung beauftragt.
Probleme mit gefälschten, missbrauchten und gestohlenen Zertifikaten häufen sich in den letzten Jahren. Seit April 2015 akzeptiert Google beispielsweise keine Zertifikate von CNNIC mehr. Ein ägyptisches Unternehmen hatte chinesische SSL-Zertifikate für mehrere Google-Domains missbräuchlich ausgestellt.
Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.