Bei Go Daddy, einer Zertifizierungsstelle die im Dezember die Übernahme des deutschen Webhoster Host Europe bekannt gab, müssen die TLS-Zertifikate für mehr als 6.000 Kunden ausgeauscht werden. Durch einen Softwarefehler wurden falsche Zertifikate ausgestellt.

Go Daddy gibt an, das die Zahl der betroffenen nach eigenen Angaben bei 6.100 Kunden liegt, die zwischen dem 29. Juli 2016 und dem 10. Januar 2017 ausgestellt wurden. Inzwischen sei der Fehler behoben worden.

Am 10. Januar 2017, 9 Uhr pazifischer Zeit wurden die betroffenen Zertifikate deaktiviert. Bei einer planmäßigen Änderung des Codes war ein Fehler implementiert worden, der unter bestimmten Bedingungen den Prozess der Domain-Validierung zum Absturz gebracht hatte. Für Webseitenbetreiber ist die Domain-Validierung (DV) die einfachste Form der Identitätsprüfung, wie auch das Unternehmen Lets Encrypt sie kostenfrei anbietet. Es werden vor der Vergabe höherwertiger Zertifikate (Extended Validation) auch die Inhaberschaft einer Firma und andere Eigenschaften geprüft.

Zum Beweis der Eigentümerschaft werden bei der Domain-Validierung die Kunden aufgefordert, auf der eigenen Webseite beziehungsweise dem Webserver eine bestimmte Information, etwa eine zufällige Zahlenkette abzulegen. Anschließend prüft die Zertifizierungsstelle die Information und stellt das Zertifikat aus. Der Fehler bei Go Daddy hätte aber zu "False Positives" geführt. Das bedeutet, das ein Zertifikat erstellt wurde, obwohl nicht alle notwendigen Bedingungen vorlagen. Bisher ist nicht bekannt, ob der Fehler bösartig ausgenutzt wurde.

Laut Go Daddy sollten betroffene Kunden sich möglichst schnell in ihren Account einloggen, da ein neuer Antrag für ein Zertifikat bereits angelegt sei. Dieser müsse nur vom Nutzer initialisiert werden. Dabei fallen, laut Go Daddy, keine Kosten an.

(ms, hannover)

(siehe auch golem.de:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE