Domainzertifikat: falsches Googlezert von Symantec?

1. Oktober 2015 | Von | Kategorie: Domain News, Domain Sicherheit

Symantec stellt gefälschtes Google Zertifikate aus

Der Internet-Security- Anbieter Symantec steht am virtuellen Pranger. Das Unternehmen hat eingeräumt, falsch ausgestellte Domain Zertifikate in Umlauf gebracht zu haben. Entdeckt wurden die TLS Zertifikate von Google Mitarbeitern während der Auswertung von Log-Files des internen Certificate Transparency-Systems. Das Testzertifikat, das nur einen Tag lang Gültigkeit hatte, wurde von der Symantec Tochter Thatwe signiert und war auf die Google Domains google.com und www.google.com ausgestellt.

Symantec räumt Fehler ein und zeigt Transparenz
Symantec muss jetzt Schadensbegrenzung betreiben und rettet sich in die Transparenz. Bei internen Prüfungen wurden sogar drei gefälschte Zertifikate gefunden und die Mitarbeiter, die diese Zertifikate unberechtigterweise signiert hatten, umgehend entlassen. Das Unternehmen hat auch die Domaininhaber der gefakten Zertifikate kontaktiert, um die eventuellen Folgen – z. B. Imageschäden oder finanzielle Einbußen – abzumildern.

Was kann passieren? Google und andere Browser-Betreiber könnten Symantec das Vertrauen entziehen und das Unternehmen von der Liste „Vertrauenswürdiger Anbieter“ streichen. Gleichzeitig mit der Streichung gibt die Suchmaschine eine Warnung an die Nutzer heraus, dass die angeforderte Seite nicht vertrauenswürdig ist. Jeder Nutzer, der mit Symantec Zertifikaten arbeitet, erhält die Information, dass diese Zertifikate keine Sicherheit gewährleisten. Das käme einem finanziellen Totalschaden gleich, denn Symantec gehört zu den größten Anbietern von TLC Zertifikaten weltweit.

Mehr Sicherheit durch Googles Certificate Transparency System?
Das Certificate Transparency System von Google hat mit der Entdeckung der gefälschten Zertifikate erste Erfolge gezeigt. Das Unternehmen hofft nun, dass sich andere Anbieter dieser neuen Sicherheitstechnologie öffnen. Das System soll Domainzertifikate identifizieren und diese dann anerkennen, wenn bereits verschiedene Vorzertifikate in veröffentlicht oder angekündigt wurden. So kann das Programm gefälschte Schlüssel besser identifizieren – bevor sie zum Einsatz kommen und Kunden schädigen.

Symantec gehörte bisher zum Kreis der Kritiker des Certificate Transparency Systems von Google. Doch nach diesem peinlichen Vorfall wird sich der Internet-Security Anbietern mit weiteren negativen Kommentaren sicher zurückhalten.

 

Schreibe einen Kommentar