Symantec sperrt fehlerhafte Sicherheitszertifikate

SicherheitSicherheitsmanagement

Sie stammen von einem durch WebTrust geprüften Partner. Den Missbrauch der Zeritifikate entdeckte ein unabhängiger Sicherheitsforscher. Die betroffenen Zertifikate sperrrte Symantec binenn 24 Stunden nach Erhalt der Meldung.

Symantec hat bestätigt, dass es erneut gezwungen war, mehrere fehlerhafte Sicherheitszertifikate zu sperren. Zuvor hatte Andrew Ayer, Gründer von SSLMate, den Missbrauch von mehreren von Symantec ausgestellten Zertifikaten gemeldet, unter anderem für mehrere “test.com”-Domains wie test.com, test1.com und test2.com.

“Mit der Ausnahme von test4.com und test8.com sind diese Domains auf unterschiedliche Eigentümer registriert und sie scheinen in Bezug auf den Eigentümer und die Nutzung in keinem Zusammenhang zueinander zu stehen”, schreibt Ayer in einer Mailing-Liste. Von daher sei es unwahrscheinlich, dass die Domaininhaber eine gemeinsame Nutzung der Zertifikate autorisiert hätten.

Symantec (Bild: Symantec)

Ausgestellt wurden die fraglichen Zertifikate im Oktober und November 2016. Steve Medin, Produktmanager bei Symantec, räumte den Fehler am 21. Januar ein. Sie seien durch einen von WebTrust geprüften Symantec-Partner ausgegeben worden. “Wir haben die Privilegien des Partners eingeschränkt, um die Ausstellung weiterer Zertifikate zu unterbinden, während wir die Angelegenheit prüfen”, antwortete Medin.

Zudem seien alle zum Zeitpunkt der Meldung noch gültigen Zertifikate gemäß den Richtlinien innerhalb von 24 Stunden widerrufen worden. Symantec habe seine Untersuchungen aber noch nicht abgeschlossen, so Medin weiter.

Die Zertifikate bestätigen Nutzern unter anderem, dass sie eine per SSL verschlüsselte HTTP-Verbindung nutzen sowie die digitale Identität einer Website. Es ist allerdings nicht das erste Mal, dass Symantec fehlerhafte Sicherheitszertifikate ausgestellt hat.2015 stufte Google für Chrome und Android ein Root-Zertifikat von Symantec als nicht vertrauenswürdig ein, weil es einen RSA-Schlüssel mit einer Länge von 1024 Bit enthielt, der nicht mehr als sicher angesehen wird und zu dem Zeitpunkt nicht mehr den Vorgaben des CA/Browser Forum entsprach.

Frühere Probleme mit SSL-Zertifikaten

2015 warnte auch Microsoft vor einem gefälschten SSL-Zertifikat. Demnach hatte der US-Auslandsgeheimdienst NSA nicht autorisierte Zertifikate für Man-in-the-Middle-Angriffe auf Google verwendet. Schon im August 2011 waren nach einem Angriff auf die CA DigiNotar gefälschte Zertifikate für Google-Domains aufgetaucht. Sie waren benutzt worden, um Google-Nutzer im Iran auszuspähen.

Alle diese Fälle belegen jedoch nur, dass das in der Regel gut funktionierende System eben genau deshalb, weil es so gut funktioniert und das Vertrauen innerhalb des Systems hoch ist, auch ein attraktives Ziel für Angreifer oder Personen ist, die es zu missbrauchen trachten. Dazu kommt, dass es einfacher sein, ein betrügerisches Zertifikat zu erhalten, als es zu widerrufen und seinen Missbrauch zu verhindern.

Das zeigte ein weiterer Fall im Jahre 2015. Damals hatte Google vor unerlaubt ausgestellten SSL-Zertifikaten für mehrere Google-Domains gewarnt. Sie stammten vom ägyptische Unternehmen MCS (Mideast Communication Systems). Das war von der als als vertrauenswürdig geltenden chinesische Zertifizierungsstelle CNNIC autorisiert worden. Da CNNIC in sämtlichen Root-Speichern enthalten ist, vertrauten alle Browser und Betriebssysteme den regelwidrig ausgestellten Zertifikaten.

Tipp zum Weiterlesen: Es ist wichtiger denn je, auf alles zu achten, was die Sicherheit der SSL/TLS-Implementierung beeinflusst. Leider gibt es keine Silberkugel, die man für die Abwehr von Angriffen nutzen kann. Um so wichtiger ist es, über sämtliche Wege und Mittel Bescheid zu wissen, die heute für einen effektiven Schutz zur Verfügung stehen. Informieren Sie sich hier.