Selbst das FBI beherrscht https-Verschlüsselung nicht
Drei der größten IT-Sicherheitsdienstleister liefern auf ihren Websites ungültige Server-Zertifikate aus.
Drei der größten IT-Sicherheitsdienstleister liefern auf ihren Websites ungültige Server-Zertifikate aus. Sowohl Symantec als auch Trend Micro und Network Associates bieten ihren Kunden zwar den Austausch von Daten über https-gesicherte Verbindungen an, nur passen die Zertifikate nicht zu den Servern, mit denen die Verbindung besteht.
Ausschlaggebend ist nach US-Medienberichten, dass Unternehmen wie Microsoft, das Weiße Haus oder die Bundespolizei FBI für ihre Websites auf Dienstleistungen von Akamai zurückgreifen. Der Load-Balancing-Spezialist hostet die Sites der Unternehmen oder Behörden, um auch Anfragen zu Spitzenzeiten oder in Krisensituationen bedienen zu können. Die Zertifikate für eine verschlüsselte Verbindung sind allerdings auf die ursprünglichen Server ausgestellt und nicht auf die Akamai-Rechner.
Während Akamai sich zu der Diskrepanz noch nicht äußerte, haben Microsoft und Symantec inzwischen versichert, dass der Austausch von vertraulichen Daten keinesfalls über Akamai-Server abgewickelt werde, sondern ausschließlich über eigene Rechner, für die auch gültige Zertifikate existieren.
Akamai sorgte schon vor wenigen Wochen für Aufsehen, als Microsoft seine Update-Site auslagerte, um den erwarteten Traffic der Denial-of-Service-Attacke des Blaster-Wurms abzufangen. Durch simple Überprüfungen stellte sich heraus, dass Akamai die Site pikanterweise auf einem Linux-Rechner laufen lässt.