Symantec schlampt erneut mit TLS-Zertifikaten
Offenbar haben mehrere von Symantec betriebene Certificate Authorities (CAs) unberechtigterweise über 100 TLS-Zertifikate ausgestellt. Das kann ein Auslesen des Datenverkehrs von HTTPS-geschützten Websites durch Dritte ermöglichen.
Nach Erkenntnissen des Security-Experten Andrew Ayer hat Symantec im vergangenen Jahr mehrmals unbefugt Zertifikate für den verschlüsselten SSL/TLS-Datenverkehr etlicher Domains ausstellen lassen. Zu den betroffenen gehören example.com – eigentlich im Besitz der Internet-Verwaltung ICANN – und diverse Domains mit dem Namensbestandteil "test".
Wie Ars Technica weiter berichtet, sind die regelwidrig und offenbar zu Testzwecken generierten Zertifikate zwar meist innerhalb einer Stunde zurückgezogen worden. Dennoch sind die Vorgänge untragbar, zumal es eine Weile dauern kann, bis Browser zurückgezogene Zertifikate tatsächlich ablehnen.
Symantec war bereits im Jahr 2015 für dieselbe Vorgehensweise unangenehm aufgefallen. Google hatte der Sicherheitsfirma damals ein Ultimatum gestellt, dem Projekt Certificate Transparency beizutreten. Darüber waren Ayer die neuerlichen Verstöße Symantecs nun aufgefallen. Für den offenbar fahrlässig agierenden Anbieter könnten sie nun schlimmstenfalls das Aus des gesamten Zertifkatsgeschäfts nach sich ziehen.
[Update 23. 1. 2017] Symantec hat der betreffenden CA nach eigenen Angaben die Ausgaberechte für Zertifikate vorerst entzogen. Sämtliche der von Ayer aufgelisteten Zertifikate seien inzwischen zurückgezogen. Eine Untersuchung der Vorgänge sei im Gange. (un)
