Im Dunkeln gelassen: Wenn die Sonne zu früh untergeht
Die Internet-Sicherheitslandschaft ist ständig im Wandel. Daten sind die Grundlage für die Entscheidungen, die Unternehmen in Bezug auf ihre Sicherheitslage treffen. Wenn diese Daten unvollständig sind, wird eine Vorhersage der Folgen von Sicherheitsänderungen nahezu unmöglich. Anfang dieses Monats hat Google auf Veranlassung der Symantec Corporation das Vertrauen in ein veraltetes Verisign CA-Root-Zertifikat aus seinen Produkten, einschließlich des mobilen Betriebssystems Android und des Webbrowsers Chrome, entfernt.
"Aber Michael, es handelt sich um eine alte Zertifizierungsstelle... Gehört das nicht zum normalen Sunsetting-Prozess für ein öffentliches Stammzertifikat?"
Ja, dies ist eine alte Zertifizierungsstelle. Das Stammzertifikat enthält einen öffentlichen RSA-Schlüssel mit 1024 Bit, und sein Signatur-Hash verwendet den veralteten SHA1-Hash-Algorithmus, der zweifellos ausgemustert werden muss. Symantec behauptet, dass sie dieses Root-Zertifikat seit "mehreren Jahren" nicht mehr zum Signieren neuer Zertifikate verwendet haben. Zahlreiche andere Anbieter, darunter Microsoft Corporation und Apple Inc., haben dieses Stammzertifikat bereits aus den Vertrauensspeichern ihrer jeweiligen Betriebssysteme und Browser entfernt.
Das Problem an der Wurzel packen
Warum mache ich mir also die Mühe, über etwas so Banales wie die Pensionierung einer öffentlichen Wurzel-CA zu schreiben? Erinnern Sie sich, wie ich vor einer Minute über Daten, Entscheidungen und Konsequenzen gesprochen habe? Erinnern Sie sich daran, wie ich erwähnte, dass Sicherheitsentscheidungen, die auf unvollständigen Daten beruhen, zu Missverständnissen und unterschätzten Konsequenzen führen können?
Im Rahmen der SSL Certificate Monitoring Survey überwachen wir kontinuierlich alle SSL/TLS Endpunkte im öffentlichen Internet. Würden Sie darauf wetten, dass Symantec unter den Millionen von Zertifikaten, die im Internet aktiv sind, jedes einzelne kennt, das mit ihren öffentlichen Wurzeln verknüpft ist? Glauben Sie, dass Symantec in Anbetracht seiner Fehltritte im letzten Jahr in Bezug auf "gefälschte" und "unseriöse" Zertifikate, die von seinen öffentlichen Wurzeln ausgestellt wurden, weiß, welche Zertifikate es ausgestellt hat?
Legacy Root oder nicht?
Am1. Dezember, als die Abschaffung in den Google-Produkten durchgeführt wurde, gab es nach unseren Recherchen noch 21.848 SSL/TLS Endpunkte im Internet, die Zertifikate mit dieser "alten" Wurzel verwenden. Die manuelle Überprüfung einiger der betroffenen Endpunkte führte uns zu Webservern von Investmentbanken, Online-Steuerberatern, VPN-Edge-Geräten und E-Commerce-Sites. Die Daten stellen die Behauptung von Symantec in Frage, dass dieses Stammzertifikat seit "mehreren Jahren" nicht mehr für die Erstellung neuer Zertifikate verwendet wurde.
Trotz des düsteren Bildes, das ich oben gezeichnet habe, kann ich sagen, dass Symantec in den Tagen, seit wir diese Zertifikate entdeckt haben, sein Wort zu halten scheint und die Dinge für die betroffenen Kunden in Ordnung bringt. Allen Endgeräten, die manuell überprüft wurden, sind neue Zertifikate zugewiesen worden. Diese neuen Zertifikate sind mit alternativen G3-Roots oder neueren, sichereren G5-Roots bei Verisign verknüpft.
Der Betrieb einer öffentlichen Stammzertifizierungsstelle im Internet erfordert, dass der Betreiber sicherstellt, dass ihm vertraut werden kann. In der jüngeren Vergangenheit haben Symantec und seine verschiedenen Tochtergesellschaften Fehltritte begangen: Sie haben den Überblick über ausgestellte Zertifikate verloren, "gefälschte" oder "Test"-Zertifikate von einer öffentlichen Stammzertifizierungsstelle ausgestellt und eine Stammzertifizierungsstelle außer Betrieb genommen, so dass Kunden mit nicht mehr vertrauenswürdigen Endteilnehmerzertifikaten dastehen. Scheint dies das Verhalten eines Unternehmens zu sein, das Sie sich als führendes Unternehmen wünschen würden, das vertrauenswürdige Identitäten im Internet bereitstellt?
Weltweite Internet-Zertifikatsforschung
Auf der CSS-Website finden Sie Daten über die aktuelle Internet-Landschaft von SSL/TLS sowie ein Formular, mit dem Sie Ihren eigenen Bericht über die digitalen Zertifikate anfordern können, die wir bei der Überwachung der Nutzung von SSL/TLS im Internet beobachtet haben: https://www.css-security.com/research/
Für weitere Informationen über die Umfrage zur Überwachung von Zertifikaten und die Arbeit von CSS Research kontaktieren Sie uns bitte unter [email protected].
