Überwachungs-Verdacht: Empörung um Intermediate CA von BlueCoat

Die Sicherheitsfirma BlueCoat hatte sich ein Intermediate-CA-Zertifikat von Symantec ausstellen lassen. Damit hätte die Firma, die im Verdacht steht Überwachungs-Systeme zu verkaufen, eigene Zertifikate auf beliebige Domains ausstellen können.

In Pocket speichern vorlesen Druckansicht 113 Kommentare lesen
Blue Coat

(Bild: Blue Coat)

Lesezeit: 3 Min.
Von
  • Fabian A. Scherschel
Inhaltsverzeichnis

Symantec hat der umstrittenen Sicherheitsfirma BlueCoat im September ein Intermediate-CA-Zertifikat ausstellen lassen. Beide Unternehmen sehen sich deshalb harter Kritik ausgesetzt. Blue Coat wird vorgeworfen, für repressive Regimes zu arbeiten. Nun heißt es, mit einer Intermediate CA von Symantec könnten solche Kunden verschlüsselten Traffic auf beliebigen Domains ausforschen.

Als Inhaber einer Intermediate CA, die von einer vollwertigen Certificate Authority (CA) signiert wurde, kann man sich Zertifikate auf beliebige Domains – etwa google.com, facebook.com oder heise.de – ausstellen lassen, denen alle Browser vertrauen, die der ursprünglichen Root CA vertrauen. Symantec hätte also seine Macht, Zertifikate für diese Domains auszustellen, an BlueCoat vererbt.

Das hat besondere Brisanz, da BlueCoat seit einigen Jahren im Verdacht steht, Produkte an repressive Regimes zu verkaufen, mit denen diese ihre Bürger überwachen. Mit einem Intermediate-CA-Zertifikat auf einer Netzwerk-Appliance könnte ein solches Regime den verschlüsselten Traffic zu Seiten wie google.com aufbrechen und den Inhalt untersuchen.

Die Hilfsorganisation Reporter Ohne Grenzen (Reporters Sans Frontières) unterstellt BlueCoat ein eben solches Verhalten und bezeichnet die Firma deswegen als eine der fünf größten unternehmerischen Feinde des Internets. Die Produkte der Firma würden eingesetzt, um menschenrechtswidrige Überwachung auszuführen.

Entdeckt hat das umstrittene Zertifikat Sicherheitsforscher Filippo Valsorda vor ein paar Tagen mit Hilfe von Googles Certificate-Transparency-Projekts. Seitdem tobt in der Security-Szene ein Protest-Sturm gegen BlueCoat und Symantec. Gegenüber der britischen Nachrichtenseite The Register gaben beide Firmen zu Protokoll, dass das Zertifikat nur zu internen Testzwecken ausgestellt worden sei. Symantec habe dies geprüft und sei sich sicher, dass das Zertifikat nur zu "angemessenen Zwecken" verwendet worden sei. Symantec behauptet darüber hinaus, BlueCoat habe nie den privaten Schlüssel besessen, den die Firma benötigt hätte, um eigene Zertifikate auf Domains auszustellen.

Dass man das fragliche Zertifikat nur zu Testzwecken ausgestellt habe hatte Symantec schon letztes Jahr angegeben, nachdem die Firma von Google dabei erwischt worden war, sich ein Zertifikat für die Google-Domain ausgestellt zu haben. Der Vorfall war Auslöser dafür, dass Google nun mithilfe des eigenen Chrome-Browsers die Daumenschrauben für Zertifikats-Transparenz immer stärker anzieht.

Zertifikate, die von einer solchen Intermediate-CA auf eine Domain ausgestellt wurden und nicht mit dem eigentlichen Zertifikat der Seite übereinstimmen, können mittels Certificate Pinning entdeckt werden. Das funktioniert aber nur bei einigen wenigen Domains, bei denen Pinning explizit aktiviert ist (etwa wenn man google.com im Chrome-Browser aufruft). Wer sich im Allgemeinen vor solchem Missbrauch schützen will, kann das entsprechende Intermediate-CA-Zertifikat auf seinem System als nicht vertrauenswürdig deklarieren. Wie das geht erklärt der Hintergrundartikel "Zertifikate sperren – so geht's" bei heise Security.

Siehe dazu auch:

(fab)