Symantec schlampt erneut mit TLS-Zertifikaten

https://www.szenebox.org/images/_imp...2017/01/83.jpg ► Offenbar haben mehrere von Symantec betriebene Certificate Authorities (CAs) unberechtigterweise über 100 TLS-Zertifikate ausgestellt. Das kann ein Auslesen des Datenverkehrs von HTTPS-geschützten Websites durch Dritte ermöglichen.

https://www.szenebox.org/images/_imp...2017/01/82.jpg

Nach Erkenntnissen des Security-Experten Andrew Ayer hat Symantec im vergangenen Jahr mehrmals unbefugt Zertifikate für den verschlüsselten SSL/TLS-Datenverkehr etlicher Domains ausstellen lassen. Zu den betroffenen gehören example.com – eigentlich im Besitz der Internet-Verwaltung ICANN – und diverse Domains mit dem Namensbestandteil "test".

Wie Ars Technica weiter berichtet, sind die regelwidrig und offenbar zu Testzwecken generierten Zertifikate zwar meist innerhalb einer Stunde zurückgezogen worden. Dennoch sind die Vorgänge untragbar, zumal es eine Weile dauern kann, bis Browser zurückgezogene Zertifikate tatsächlich ablehnen. Symantec war bereits im Jahr 2015 für dieselbe Vorgehensweise unangehm aufgefallen. Google hatte der Sicherheitsfirma damals ein Ultimatum gestellt, dem Projekt Certificate Transparency beizutreten. Darüber waren Ayer die neuerlichen Verstöße Symantecs nun aufgefallen. Für den offenbar fahrlässig agierenden Anbieter könnten sie nun schlimmstenfalls das Aus des gesamten Zertifkatsgeschäfts nach sich ziehen.

Quelle: Heise.de