Zertifizierung: Google geht gegen Symantec vor

Es wirft der Sicherheitsfirma zahlreiche gravierende Fehler bei der Vergabe von Sicherheitszertifikaten vor. Mit Rücksicht auf die weite Verbreitung der Symantec-Zertifikate stuft Google ihre Gültigkeit schrittweise herab. Chrome 59 lässt sie noch 33 Monate gelten, Chrome 64 aber nur noch 9 Monate.

Google will von Symantec ausgestellten TLS-Zertifikaten zunehmend das Vertrauen entziehen und hat konkrete Schritte dazu angekündigt. So soll die Zeitdauer laufend verringert werden, in der Googles Webbrowser Chrome solchen Zertifikaten noch Vertrauen schenkt.

(Bild: Shutterstock/Cousin_Avi)

Während Chrome 59 ihnen noch eine Gültigkeit von 33 Monaten zugesteht, soll sich der Zeitraum mit jeder Version weiter reduzieren. Das für den 30. Januar 2018 geplante Chrome 64 schließlich soll Symantecs Zertifikaten für sicher verschlüsselte Internetverbindungen schon nach neun Monaten nicht mehr vertrauen. Darüber hinaus ist vorgesehen, Symantec für mindestens ein Jahr den Extended-Validation-Status zu entziehen und die Neuausgabe aller derzeit gültigen Zertifikate durchzusetzen.

Die Chrome-Entwickler werfen Symantec eine Serie gravierender Fehler bei der Vergabe von Sicherheitszertifikaten vor, die Anwendern unter anderem die Nutzung einer per TLS / SSL verschlüsselten HTTP-Verbindung sowie die digitale Identität einer Website bestätigen. Erst kürzlich musste Symantec erneut fehlerhafte Zertifikate sperren, nachdem ein unabhängiger Sicherheitsforscher den Missbrauch der Zertifikate aufgedeckt hatte. Eine Untersuchung ergab laut Google, dass Symantecs Vergabepraxis und mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen die Nutzer erheblich gefährdet.

Symantec nannte Googles geplantes Vorgehen „verantwortungslos“. Dabei hätte sich Google-Entwickler Ryan Sleevi, der die geplanten Schritte in einer Mailingliste für Entwickler ankündigte, nach jahrelangen Problemen mit Symantecs Vergabepraxis offenbar sofort greifende und entschiedenere Maßnahmen gewünscht. Zu berücksichtigen waren jedoch auch potentielle Probleme mit Interoperabilität und Kompatibilität, da Symantec mehr als 30 Prozent aller Zertifikate bereitstellt. Das Kompatibilitätsrisiko sei besonders hoch bei von Symantec ausgegebenen Zertifikaten, da die Sicherheitsfirma einige der ersten Certificate Authorities (CAs) wie Thawte, Verisign und Equifax übernommen hatte, die zu den besonders breit unterstützten Zertifizierungsstellen zählen.

Schon 2015 stufte Google für Chrome und Android ein Root-Zertifikat von Symantec als nicht vertrauenswürdig ein, weil es einen RSA-Schlüssel mit einer Länge von 1024 Bit enthielt, der nicht mehr als sicher angesehen wurde und auch nicht mehr den Vorgaben des CA/Browser Forum entsprach. Das Sicherheitsunternehmen musste außerdem die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen. Laut Symantec wurden diese zwar nur für interne Testzwecke genutzt. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Google forderte eine gründliche Aufklärung des Falls und drohte im Oktober 2015 bereits damit, andernfalls in Chrome vor Websites mit Symantec-Zertifikat zu warnen.

[mit Material von Chris Duckett, ZDNet.com]

HIGHLIGHT

Wettbewerbsvorteile durch effizienten Kundenservice

Telefonieren Sie noch oder skypen Sie schon, lautete einmal ein einprägsamer Werbespruch, der einfach zum Ausdruck brachte, dass eine ältere Technologie von etwas Besserem ersetzt wird. Das Gleiche gilt für die Kommunikation mit Kunden. Nutzen Sie schon Communication Enabled Business Processes (CEBP) oder warten Sie, bis der Wettbewerb Sie überholt

Themenseiten: Browser, Chrome, Google, Sicherheit, Symantec, Verschlüsselung

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Zertifizierung: Google geht gegen Symantec vor

Kommentar hinzufügen
  • Am 25. März 2017 um 8:37 von Juergen

    Der Platzhirsch macht Terror.
    Als ob die Internet-Welt sicherer wäre, würde man immer auf das Schlüsselchen-Symbol vertrauen.
    Jetzt heulen wieder alle Hobby-Blogger: „Oh, Mann, so ein Shit, seit 1.1. sagt Google, dass meine Website unsicher sei – kapier ich nicht!“
    Ja, so ist das, wenn man nach der Pfeife eines Monopolisten tanzen muss.

  • Am 26. März 2017 um 13:20 von Sebastian

    Ich begrüße die Entscheidung von Google. Denn es genügt eine Zertifizierungsstelle die gefälschte Zertifikate ausstellt, damit Dienstleistungen komprimiert werden können und alle anderen Zertifizierungsstellen nicht mehr die versprochene Sicherheit Gewährleisten können. Ein Patzer kann das Gesamte Zertifizierungssystem in Verruf bringen. Entsprechend muss wiederholtes vergehen schmerzhaft bestraft werden.

    Für einen simplen Blogger wird es wohl lohnender sein, einfach auf Let’s Encrypt für eine simple Domain-Validation umzusteigen. Dies wird inzwischen auf von vielen Webhosting Anbietern direkt in Plesk angeboten. Eine Extended Validation lohnt sich ohnehin nur für Webseiten, welche Verträge abschließen und entsprechendes Vertrauen benötigen. Und wer hier entsprechend vom Fach ist, wird die Entscheidung von Google ebenso nur begrüßen können, trotz dessen, dass es zunächst einige Umstände machen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *