Domain Zertifikate: Symantec wieder in der Kritik

27. Januar 2017 | Von | Kategorie: Domain News, Domain-Tools

Fake Domainbesitzer mit Symantec Test-Zertifikate ?

Symantec steht schon seit geraumer Zeit unter Beobachtung, weil es Unregelmäßigkeiten bei der Ausstellung von TLS Zertifikaten gab. Jetzt hat Andrew Ayer von der Firma SSLMate von einem neuen Fall in der Mozilla „Security-Policy-Mailing-List“ berichtet. Demnach hat Symantec in größerer Anzahl Test-Zertifikate für ungültige oder unberechtigte Domainbesitzer ausgestellt.

Ayer hat diese Domain SSL Zertifikate über das Certifikate Transparency System gefunden.

Domainbetreiber verneinen Zertifizierungsanträge
Die Domain example.com erhielt im Juli 2016 insgesamt 4 Zertifikate von Symantec. Diese Domain wird von der ICANN betrieben, die auf Nachfrage schrieb, dass bei Symantec keine Zertifikate beantragt wurden, da eine Zertifizierung bereits von Digicert vorgenommen wurde. Nachdem Ayer weiter recherchierte, stellte er fest, dass die Zertifikate bereits wieder gelöscht waren, ohne das der Domainbetreiber ( ICANN) informiert wurde. Bei fälschlicher Ausstellung und Rücknahme von Zertifikaten wird üblicherweise der Browserhersteller und die Öffentlichkeit in der Fachpresse informiert.

Weitere Zertifikate wurden auf das Wort „Test“ in Kombinationen erstellt. Ayer schreibt dazu: „Ich glaube nicht, dass es eine Organisation test in test, Korea, gibt“, hat aber die entsprechenden Domaininhaber nicht kontaktiert. Zudem wurden mehrere Zertifikate auf test.com, test1.com bis test9.com und test11.com ausgestellt. Da diese Domains nicht einem Betreiber gehören, sondern verschiedenen Unternehmen und Personen, geht Ayer davon aus, dass die Betreiber nicht selbst Anträge auf eine gemeinsame Zertifizierung gestellt haben. Besonders interessant ist, dass diese Zertifikate laut der Censys-Zertifikatsuchmaschine niemals in Benutzung waren, also reine Test-Zertifikate sind.

Google verwarnt Symantec
Der Branchenriese Google hat Symantec bereits seit einiger Zeit auf dem Radar. Im Jahr 2015 erfolgte eine erste Verwarnung, als die Domain Zertifizierungsstelle unberechtigt Zertifikate für google.com ausgestellt hatte. Google forderte Symantec daraufhin auf, zukünftig alle Zertifikate im Certificate-Transparency-Log zu hinterlegen und zusätzlich intern die Arbeitsweise bei der Zertifizierung zu überprüfen. Zudem behielt sich das Unternehmen weitere Regulierungsmaßnahmen gegen Symantec vor.

Sollte dieser neue Fall höhere Wellen schlagen, könnten die Browserhersteller reagieren und Symantec das Vertrauen entziehen. Dann würden die Domain TLS Zertifikate nicht mehr akzeptiert und Symantec hätte als Zertifizierer nicht nur Partner sondern auch Kunden verloren.

 

 

Schreibe einen Kommentar