Laut des Security-Experten Andrew Ayer wurden im vergangenen Jahr mehrmals unbefugt Zertifikate von Symantec für den verschlüsselten SSL/TLS-Datenverkehr etlicher Domains erstellt.

Die betroffenen sind unter anderem example.com, die eigentlich im Besitz der Internet-Verwaltung ICANN ist, und weitere Domains die "test" im Namen haben.

Ars Technica berichtet, dass diese regelwidrigen Zertifikate offenbar zu Testzwecken generiert wurden und meistens nach spätestens einer Stunde zurückgezogen wurden. Die Vorgänge sind allerdings untragbar, da es eine Weile dauern kann, bis zurückgezogene Zertifikate von Browsern tatsächlich ablehnt werden.

Im Jahr 2015 war Symantec ebenfalls für diese Vorgehensweise unangehm aufgefallen. Um dem Projekt Certificate Transparency beizutreten, wurde der Sicherheitsfirma damals von Google ein Ultimatum gestellt. Deshalb waren Ayer die aktuellen Verstöße von Symantec aufgefallen. Schlimmstenfalls kann dieses offenbar fahrlässige Agieren für einen Anbieter das Aus des gesamten Zertifkatsgeschäfts bedeuten.

(ms, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE