Thawte gab Doppelgänger-Zertifikate aus

Die südafrikanische Firma Thawte hat über Monate hinweg Zertifikate mit bereits vergebenen IDs ausgestellt. Thawte ist einer der größten internationalen Herausgeber von Zertifikaten für verschlüsselnde Web-Server (SSL) und E-Mail-Verschlüsselung beziehungsweise -Signatur (X.509). Das Zertifikat ihrer Certification Authority (CA) findet sich in nahezu jedem Browser und E-Mail-Client.

Die ID ist lediglich eine Seriennummer, die eine eindeutige Zuordnung erlauben soll. Die zertifizierten Schlüssel waren laut Thawte jeweils Einzelstücke, sodass die Sicherheit verschlüsselter Verbindungen oder E-Mails zumindest nicht direkt betroffen ist. Auch falsche digitale Signaturen sind damit nicht möglich. Allerdings erfolgt der Widerruf eines Zertifikats anhand dieser ID. Sperrt jemand ein Zertifikat, werden automatisch auch alle anderen Zertifikate mit dessen ID in Thawtes Certificate Revocation List (CRL) als ungültig markiert.

Thawte hat jedoch alle betroffenen Kunden bereits informiert und bietet ihnen kostenlosen Ersatz an. In einer eigenen FAQ informiert die Firma über dieses Problem und stellt ein Tool bereit, mit dem Kunden die eigenen Zertifikate überprüfen können.

Damit ist der Vorfall für Thawte zwar peinlich, hat aber bei weitem nicht die Tragweite des vor zwei Jahren bei Verisign aufgetretenen Fehlers: Verisign hatte damals Zertifikate von Unbekannten unterschrieben, die auf Microsoft ausgestellt waren und es ermöglichten, Software mit deren digitaler Unterschrift zu versehen. (ju)