Verisign erteilte jüngst zwei Code-Signing-Zertifikate, die auf die Firma Microsoft lauten. Leider stellte sich inzwischen heraus, daß nicht Microsoft im Besitz der geheimen Schlüssel ist, sondern jemand anders.

Betroffene Systeme
Systeme, die sich auf Code-Signing-Zertifikate von Verisign verlassen. Von der nun zweifelhaften Qualität anderer VeriSign-Zertifikate sind jedoch auch andere Systeme betroffen.

Beschreibung
Ende Januar stellte VeriSign zwei Zertifikate auf Microsoft Corporation aus, das den Inhaber berechtigt, Programme und aktive Inhalte als sicher zu zertifizieren. Leider versäumte VeriSign, die Identität des Antragstellers sorgfältig zu prüfen, so daß erst jetzt festgestellt wurde, daß dieser nicht im Auftrag des Unternehmens Microsoft handelte. VeriSign ist bisher noch nicht in der Lage, den tatsächlichen Antragsteller zu ermitteln.
Nach Microsofts Angaben wird das Zertifikat nicht sofort als vertrauenswürdig erkannt, so daß vor der Ausführung zertifizierten Codes eine Rückfrage stattfindet. Microsoft erwartet, daß die Benutzer an dieser Stelle abbrechen - aber wem sollen sie vertrauen, wenn sie das nicht einmal bei Zertifikaten dürfen, auf denen Microsoft Corporation steht?
Zu allem Überfluß verweist das fälschlicherweise ausgestellte Zertifikat nicht auf eine Certificate Revocation List (CRL), in die man das Zertifikat eintragen könnte, um es unschädlich zu machen.
Diese Angelegenheit wirft natürlich auch ein schlechtes Licht auf die Qualität der von Verisign erbrachten Dienstleistung. Es ist daher möglicherweise ratsam, in Zukunft VeriSign-Zertifikaten mit größerer Skepsis zu begegnen.

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Gegenmaßnahmen

• Aktive Inhalte abschalten.
• Die VeriSign-CAs aus dem System entfernen.
• Allen angeblichen Microsoft-Zertifikaten, die Ende Januar 2001 ausgestellt wurden, mißtrauen.

Weitere Information zu diesem Thema

• VeriSign Security Alert
• How to Remove a Root Certificate from the Trusted Root Store

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/