Kritik an BlueCoat: Überwachung per Intermediate CA Zertifikat?
Symantec und BlueCoat stehen am virtuellen Pranger, seit der Sicherheitsforscher Filippo Valsorda ein Intermediate CA Zertifikat von BlueCoat entdeckt hatte. Die Sicherheitsfirma hatte das Zertifikat von Symantec bereits im September 2015 ausstellen lassen. Die Inhaber von Intermediate CA können vertrauenswürdige Zertifikate für beliebige Domains ausstellen. Symantec wird für die Überschreibung dieses Zertifikats an BlueCoat heftig kritisiert.
Dieser Vorfall hat besondere Brisanz, da BlueCoat seit einigen Jahren unter dem Verdacht steht, Überwachungssysteme an repressive Regimes zu verkaufen. Durch die Macht des Intermediate CA Zertifikats könnten die Kunden von BlueCoat den verschlüsselten Traffic auf Domains ausspähen. Die Organisation Reporter ohne Grenzen spricht im Zusammenhang mit BlueCoat von menschenrechtswidrigen Überwachungstechniken und bezeichnet die Sicherheitsfirma als „einen der fünf größten unternehmerischen Feinde des Internets“.
Symantec und BlueCoat wiegeln ab
Nach der anhaltenden und heftigen Kritik aus der internationalen Security Szene haben sich beide Unternehmen öffentlich zu dem umstrittenen Intermediate CA Zertifikat geäußert und ein gemeinsames Statement abgegeben. Gegenüber der britische Zeitung „The Register“ gaben die Unternehmen an, das Zertifikat nur „zu internen Testzwecken“ überschrieben zu haben. Symantec hatte nach eigenen Tests behauptet, dass BlueCoat nie die Rechte erhalten hätte, selbst Zertifikate auszustellen und das Intermediate CA nur „zu angemessenen Zwecken“ verwendete.
Diese Aussage ist nicht neu und lässt die Kritik nicht verstummen. Symantec hatte bereits 2015 behauptet, dass Intermediate CA Zertifikat nur zu Testzwecken ausgestellt zu haben. Zu diesem Zeitpunkt wurde Symantec bereits von Google bei der widerrechtlichen Ausstellung eines Zertifikats für eine Google Domain ertappt und geriet in negative Schlagzeilen. Jetzt ist dieses Zertifikat also in den Händen von BlueCoat. Es ist wichtig, die Aktivitäten der Sicherheitsfirma genau im Auge zu behalten und einen Missbrauch des Intermediate CA Zertifikats rechtzeitig zu dokumentieren – bevor die Kunden des Unternehmens die Möglichkeit erhalten, den Traffic auf “unerwünschten“ Domains auszuspionieren.