Zehntausende HTTPS-Zertifikate als unsicher eingestuft

Während in Europa die HTTPS-Verschlüsslung mit dem baldigen Inkrafttreten der neuen europäischen Datenschutzverordnung für viele Webseiten verpflichtend wird, zeigt sich immer mehr, dass die Zertifikatvergabe mangelhafte Sicherheits-Strukturen aufweist. Der neueste Skandal wurde vom Chef des britischen Zertifikat-Anbieters Trustico ausgelöst, der die privaten Schlüssel für knapp 23.000 Zertifikate per E-Mail an einen Manager des früheren Symantec-Resellers Digicert verschickt hat.

Experten sind sich einig, dass der Verlust eines privaten Schlüssels das Sicherheitskonzept aushebelt. In der Folge müssen die Zertifikate in Zukunft als unsicher eingestuft werden. Auch betonen Experten, dass ein Unternehmen ausgegebene private Schlüssel nicht speichern sollte. Schon gar nicht sollte der Chef des Unternehmens ohne weiteres Zugriff auf diese erhalten.

Trustico stuft den Fehler als eine Altlast von Symantec ein. Symantec war der Begründer der HTTPS-Zertifikate, musste aber auf Druck von Google das Geschäft abstoßen, nachdem mehrere Sicherheitsmängel publik wurden. Google hatte damit gedroht, sämtliche von Symantec vergebene Zertifikate im Chrome-Browser als unsicher einzustufen.