30.000 falsche Zertifikate Sicherheit vieler Web-Seiten gefährdet
News folgenSymantec scheint die Kontrolle über die Vergabe seiner Zertifikate verloren zu haben. Google leitet jetzt folgenschwere Schritte ein.
Google kündigte jetzt drastische Maßnahmen an und will langfristig alle von Symantec ausgestellten Zertifikate für ungültig erklären. Als erste Maßnahme soll die Gültigkeit radikal auf neun Monate gekürzt werden.
Zertifikate weisen eine Webseite als sicher und nicht manipuliert aus und garantieren, dass Daten des Nutzers sicher verschlüsselt übertragen werden. Im Browser wird dies durch das Symbol eines verriegelten Schlosses angezeigt.
Google droht Symantec die Erlaubnis zu entziehen, langfristig gültige Zertifikate "Extended-Validation-Zertifikate" (EZ) auszustellen, berichtet "golem.de". Die Folgen für Webseiten-Betreiber wären teuer, da bestehende EZ damit praktisch wertlos werden. Im Browser Google Chrome könnte die Sicherheit von betroffenen Webseiten heruntergestuft werden, berichtet "heise.de", Auf Dauer solle Chrome allen derzeitig als vertrauenswürdig eingestuften Symantec-Zertifikaten nicht mehr vertrauen.
Hintergrund
Anfang Januar fand Andrey Ayer von der Firma SSLMate laut "golem.de" heraus, dass Test-Zertifikate für Webseiten ausgestellt worden waren, ohne dass die Inhaber dies beauftragt hätten. Aussteller sei nicht Symantec selbst gewesen, sondern die Firma Crosscert.
Problem größer als erwartet
Nach Überprüfungen von Google und Mozilla stellte sich das Problem als weit größer dar: "Insgesamt vier Firmen hatten Kontrolle über die Infrastruktur von Symantec, konnten Zertifikate ausstellen und wurden dabei über Jahre hinweg nicht hinreichend kontrolliert. Von diesen vier Firmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt." berichtet golem.de.
Herkunft aller Zertifikate scheint unklar
Es scheint technisch nicht feststellbar, welche Zertifikate direkt und damit regulär von Symantec ausgestellt wurden. Damit verstieße Symantec gegen Regelungen des CA/Browser-Forums. Auf Nachfrage von t-online versuchte Symantec, das Problem klein zu reden und gab lediglich zu, dass 127 Zertifikate zu Unrecht ausgestellt worden seien. "Das habe aber keine Schäden für Kunden zur Folge gehabt.", behauptet Symantec. Sie haben Maßnahmen ergriffen, die Situation zu korrigieren und Partner, die Zertifikate verteilt haben, von weiteren Ausstellungen ausgeschlossen und würden selbst den Zertifizierungsprozess aussetzen. Symantec versucht, dies als eigene Aktion zu verkaufen, dabei stehen Sie unter Druck von Google. Der Internet-Riese droht Symantec, die Erstellung der besonders lukrativen Extended-Validation-Zertifikate (EV) zu entziehen, berichtet golem.de.
Symantec beklagte sich, dass andere Zertifikatsaussteller ebenfalls Probleme hätten, aber Google würde sie als einziger an den Pranger stellen. Google versicherte, dass sie gesprächsbereit seien und ihnen die Sicherheit ihrer Kunden wichtig wäre.
Folge
Sollte Google seine Maßnahmen verwirklichen, berichtet golem.de, dürfte das drastische Folgen für Symantec haben: Alle Zertifikate müssten ersetzt werden, dass könnte für Symantec-Kunden sehr aufwändig werden. Wer die möglichen Kosten zu tragen hat, ist noch unklar.
