Nach mehreren Vorfällen, bei denen Symantec offenbar die Kontrolle über seine Zertifikatsinfrastruktur verloren hatte, plant Google nun drastische Maßnahmen.
Von Golem:
Weiter lesen
Anfang Januar fand Andrew Ayer von der Firma SSLMate heraus, dass in den Certificate-Transparency-Logdaten mehrere Testzertifikate zu finden waren, die für Domains ausgestellt waren, deren Inhaber diese nicht beantragt hatten. Ausgestellt wurden diese jedoch nicht von Symantec selbst, sondern von einer Firma namens Crosscert.
Nach Recherchen von Google und Mozilla stellte sich jedoch heraus, dass das Problem weit größer war. Insgesamt vier Firmen hatten Kontrolle über die Infrastruktur von Symantec, konnten Zertifikate ausstellen und wurden dabei über Jahre hinweg nicht hinreichend kontrolliert. Von diesen vier Firmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt. Offenbar ist es jedoch technisch nicht feststellbar, welche Zertifikate davon betroffen sind - sie sind identisch mit anderen von Symantec ausgestellten Zertifikaten. Daher besteht keine Möglichkeit, nur diesen Zertifikaten das Vertrauen zu entziehen.
Weiter lesen