Beveiligingsonderzoeker Hanno Böck heeft Symantec zover gekregen om een certificaat voor een zelfingericht testdomein in te trekken. Hij maakte daarvoor gebruik van een nepprivésleutel. Comodo kreeg hij niet zover om tot intrekking over te gaan.
Böck schrijft in een blogpost dat certificaatautoriteiten verplicht zijn om een certificaat in te trekken als de privésleutel ervan is uitgelekt. Om dit proces te testen, richtte hij twee testdomeinen in en vroeg hij daarvoor digitale certificaten aan bij Symantec en Comodo, omdat het grote partijen zijn die bovendien gratis testcertificaten aanbieden. Vervolgens maakte hij een nepprivésleutel aan voor beide domeinen, zette deze op Pastebin en stuurde hij deze naar beide bedrijven, waarop alleen Symantec het certificaat introk. Hij combineerde de ingestuurde sleutels met daadwerkelijk uitgelekte privésleutels die hij online had gevonden.
De onderzoeker heeft de tool waarmee hij de valse sleutel heeft aangemaakt online gezet. Hij schrijft dat hij ervoor heeft gekozen om hetzelfde publieke deel van de sleutel in zowel het certificaat als de privésleutel te gebruiken, wat bij een 'naïeve controle' niet zou opvallen. Een grondige controle zou verder gaan dan alleen het vergelijken van deze delen. Als dit niet gebeurt is dat problematisch; een aanvaller zou immers een privésleutel kunnen aanmaken met een publieke sleutel van het certificaat en het privégedeelte van een willekeurige andere sleutel. Daarmee zou hij in principe het certificaat van een willekeurige site laten intrekken, waardoor deze te maken zou krijgen met downtime, aldus Böck.
Symantec heeft met een eigen verklaring op de actie gereageerd. Het zegt dat het zijn processen voor het intrekken van sleutels zal herzien. Het bedrijf zegt dat het bij de controle van een sleutel bepaalde delen ervan niet onderzocht, wat ook al bleek uit de manier waarop Böck zijn nepsleutel had gegenereerd. Symantec ontving in maart al kritiek van Google op de manier waarop het certificaten verstrekt. Google kondigde aan het vertrouwen in oude Symantec-certificaten te reduceren. De zoekgigant startte een onderzoek nadat Symantec ten onrechte certificaten had uitgegeven.