Symantec beim Fälschen von Google-Zertifikaten erwischt
Das für seine Sicherheits-Software bekannte Unternehmen Symantec wurde beim Fälschen von SSL-Zertifikaten für Google.com erwischt. Google-Mitarbeiter haben ihre Entdeckung am Freitag in einem Blogpost veröffentlicht. Demnach wurden am 14. September mehrere SSL-Zertifikate für Google.com ausgestellt, obwohl Google diese nicht in Auftrag gegeben hat. Die Zertifikate wurden bereits für ungültig erklärt und können nicht mehr von Angreifern missbraucht werden.
Mitarbeiter entlassen
Mit derartigen SSL-Zertifikaten wird die verschlüsselte Verbindung zu einer bestimmten Seite garantiert. Hacker können diese Zertifikate allerdings auch missbrauchen, um eine vertrauenswürdige Verbindung zu fälschen. 2011 nutzten die iranischen Behörden beispielsweise manipulierte SSL-Zertifikate, um politische Gegner zu überwachen. Symantec spricht von einem Versehen bei einem internen Testverfahren, die drei verantwortlichen Mitarbeiter wurden bereits entlassen.
Der Fall sorgt besonders deswegen für große Aufregung, da ein Extended-Validation-Zertifikat ausgestellt wurde. Dieses muss üblicherweise streng geprüft werden und wird im Browser deutlich sichtbar mit grüner Schrift oder einem Schloss ausgewiesen. Symantec ist seit 2010 als Zertifizierungsstelle für SSL-Zertifikate tätig. Damals übernahm man die SSL-Sparte von Verisign für rund 1,3 Milliarden US-Dollar.
Kein Risiko
Die betroffenen Zertifikate waren lediglich einen Tag lang im Umlauf. Google und Symantec bezweifeln daher, dass sie von Hackern missbraucht wurden. Diese hätten sie für „Man-in-the-Middle“-Attacken einsetzen können, um so vermeintlich sichere Verbindungen abzuhören.