Web

 

Windows-Patches bremsen Verisigns CRL-Server aus

12.01.2004

MÜNCHEN (COMPUTERWOCHE) - Verisign, weltgrößter Anbieter von digitalen Zertifikaten im Internet, und zahlreiche PC-User hatten Ende vergangener Woche unter den Tücken der Sicherheitsmechanismen des Netzes zu leiden. Betroffen waren ausgerechnet vor allem solche Anwender, die ihr System in den letzten zwei Jahren regelmäßig mit aktuellen Windows-Patches auf dem neuesten Stand gehalten hatten.

Nur hatte Microsoft diese dummerweise seit März 2001 mit veralteter Certificate Revocation List (CRL) veröffentlicht. Diese lief am 7. Januar aus, woraufhin zahlreiche Programme Verisigns Server crl.verisign.com ansprachen, um eine neue CRL anzufordern. Für die Maschine kam dies einem DoS-Angriff (Denial of Service) gleich, sie ging in die Knie. Mit der Folge, das verschiedene Programme auf den PCs nichts ahnender Benutzer nicht mehr so funktionieren wie sie sollten.

Symantecs "Norton Antivirus" beispielsweise, das die Integrität eines Systems vermittels der Verisign-Zertifikate prüft, lief nur noch extrem langsam und fror beim Echtzeit-Virentest zu öffnender Word- und Excel-Dateien mehr oder weniger ein. Verisign hat inzwischen nach Angaben von Firmensprecher Brendan Lewis seine CRL-Kapazitäten verzehnfacht, um ähnliche Vorkommnisse künftig auszuschließen. "Das war ein reines Bandbreitenproblem", so der Verisign-Mann. "Wir haben Schritte unternommen, damit so etwas nicht wieder vorkommt."

Unabhängig davon war in der vergangenen Woche auch eine von Verisigns Intermediate Certificate Authorities planmäßig abgelaufen, die für SSL-Zertifikate im E-Commerce zuständig ist. Obwohl dies bereits seit rund zwei Jahren geplant und angekündigt war, hatten nicht alle Server-Betreiber entsprechend upgedatet. Ihre Besucher wurden daraufhin mit Warnhinweisen konfrontiert. Diese hatten allerdings mit der eigentlichen Systemsicherheit nichts zu tun, denn die SSL-Verschlüsselung arbeitete trotzdem. (tc)