ABOUT SYMANTEC

Press Release

Black Hat-Konferenz: VeriSign bestätigt Sicherheit von SSL und EV SSL-Zertifikaten

Zertifikate von VeriSign, GeoTrust, Thawte und RapidSSL sind nicht anfällig für Null-Zeichen and MD2-Collision-Angriffe, die auf der Black Hat Konferenz vorgestellt wurden

Las Vegas– Black Hat® USA 2009 Conference – 30. Juli 2009 – Nachdem Forscher auf Black Hat USA 2009 eine Reihe von möglichen Gefahren für die Secure Sockets Layer (SSL)-Zertifikate vorgestellt haben, beruhigt VeriSign, Inc. (NASDAQ: VRSN) heute seine SSL-Kunden: Kein SSL-Zertifikat von VeriSign, einschließlich der Zertifikate von den Verisign-Marken GeoTrust®, Thawte® und RapidSSL®, ist anfällig für die vorgestellten Angriffsmethoden.

SSL-und Extended Validation (EV) SSL-Zertifikate von VeriSign und seine Marken sind nicht anfällig für zwei neue SSL-Schwachstellen, die diese Woche erstmals auf der in Black Hat Konferenz präsentiert wurden:

Null-Zeichen-Angriff: Die Experten glauben, dass Hacker Null-Zeichen in einige SSL-Zertifikate einbetten könnten, um Browser und darauf aufbauende Anwendungssoftware vorzugaukeln, das ein Zertifikat für eine andere Domain ausgestellt ist. Doch kein SSL-Zertifikat von VeriSign oder seiner Marken kann mit Null-Zeichen im Common Name (CN) ausgestellt werden. Deshalb können VeriSign-Zertifikate nicht für solche Angriffe verwendet werden. Darüber hinaus bieten EV SSL-Zertifikate einen wirksamen Schutz gegen die Null-Zeichen-Zertifikat-Angriffe. Diese Resistenz gilt sowohl für nach außen offene Systeme als auch für interne Systeme wie zum Beispiel automatisch aktualisierte Desktop-Anwendungen.

MD2-Sicherheitslücke: Experten sind auch der Meinung, dass Zertifikate, die den Message Digest Algorithm 2 (MD2) benutzen, noch in diesem Jahr anfällig für Pre-Image-Angriffe werden. Damit würde dieser Hash-Algorithmus unsicher. VeriSign und ihre Marken benutzen für ihre SSL-Zertifikate seit Mai 2009 den SHA-1-Algorithmus der National Security Agency. Kunden mit VeriSign-Zertifikaten sind nicht durch diesen Angriff gefährdet und müssen ihre Zertifikate daher nicht erneuern.

"Wir nehmen es selbstverständlich sehr ernst, wenn Security-Experten Schwachstellen aufdecken, die Angriffe auf eine Organisation und ihre Kunden ermöglichen. Aber Website-Betreiber können sich darauf verlassen, dass SSL-Zertifikate von VeriSign nicht für Angriffe benutzt werden können wie sie diese Woche vorgestellt wurden", sagt Tim Callan, Vice President of Product Marketing bei VeriSign. "Bis Client-Software-Anbieter die Schwachstellen in ihren Anwendungen und Betriebssysteme beheben, bieten VeriSign Lösungen wie EV SSL einen effektiven und zuverlässigen Schutz vor diesen Gefahren."

Über VeriSign

VeriSign, Inc. (NASDAQ: VRSN), bietet digitale Infrastrukturdienste an, die täglich Milliarden von Interaktionen über die weltweiten Sprach-, Video- und Datennetzwerke ermöglichen und schützen. Weitere Informationen über das Unternehmen finden Sie unter www.VeriSign.de.

Pressekontakt

Victoria Henry, vhenry@verisign.com, +44 (0)20 8600 0723 
Thorsten Wiedemer, twiedemer@webershandwick.com, +49 (0)89 380179 83 

Statements in this announcement other than historical data and information constitute forward-looking statements within the meaning of Section 27A of the Securities Act of 1933 and Section 21E of the Securities Exchange Act of 1934. These statements involve risks and uncertainties that could cause VeriSign's actual results to differ materially from those stated or implied by such forward-looking statements. The potential risks and uncertainties include, among others, the uncertainty of future revenue and profitability and potential fluctuations in quarterly operating results due to such factors as the inability of VeriSign to successfully develop and market new products and services and customer acceptance of any new products or services, including VeriSign Identity Protection Services, the possibility that VeriSign’s announced new services may not result in additional customers, profits or revenues; and increased competition and pricing pressures. More information about potential factors that could affect the company's business and financial results is included in VeriSign's filings with the Securities and Exchange Commission, including in the company's Annual Report on Form 10-K for the year ended December 31, 2007 and quarterly reports on Form 10-Q. VeriSign undertakes no obligation to update any of the forward-looking statements after the date of this press release.

©2008 VeriSign, Inc. All rights reserved. VeriSign, the VeriSign logo, the checkmark circle, and other trademarks, service marks, and designs are registered or unregistered trademarks of VeriSign and its subsidiaries in the United States and in foreign countries..All other trademarks are property of their respective owners.