Google verbannt Camerfirma

Das von Ryan Sleevi, Staff Software Engineer Google, ausgesprochene Verbot der digitalen Zertifikate der spanischen Zertifizierungsstelle (CA) Camerfirma wird mit dem Start von Chrome 90 in Kraft treten, dessen Veröffentlichung für Mitte April 2021 geplant ist. Nach dem Start von Chrome 90 werden alle Websites, die TLS-Zertifikate von Camerfirma verwenden, um ihren HTTPS-Verkehr abzusichern, einen Fehler anzeigen und in Zukunft nicht mehr in Chrome geladen.

Die Entscheidung, Camerfirma-Zertifikate zu verbieten, wurde am Montag bekannt gegeben, nachdem dem Unternehmen mehr als sechs Wochen Zeit gegeben wurde, um eine Reihe von 26 Vorfällen im Zeitraum von 2017 bis 2021 im Zusammenhang mit seinem Zertifikatsausstellungsprozess zu erklären.

Die Vorfälle, die Mozilla detailliert beschreibt, reichen bis März 2017 zurück. Zwei der jüngsten haben sich im Januar 2021 ereignet, nachdem das Unternehmen bereits im Dezember 2020 darauf aufmerksam gemacht wurde, dass es untersucht wird. Die Vorfälle zeichnen laut Mozilla das Bild eines Unternehmens, das bei der Ausstellung von TLS-Zertifikaten für Website-Betreiber, Software-Hersteller und Systemadministratoren in Unternehmen die branchenüblichen Qualitäts- und Sicherheitsstandards nicht eingehalten hat.

Eric Mill, Lead Product Manager, Chrome Security, gab zu diesem Vorfall am 29. Januar 2021 folgende Klarstellung ab: „Chrome akzeptiert keine Camerfirma-Zertifikate mehr, die speziell für die *TLS-Server-Authentifizierung* für Websites verwendet werden. Unsere geplante Aktion bezieht sich auf die Zertifikate, die Chrome verwendet und verifiziert, die nur für die TLS-Server-Authentifizierung verwendet werden. Dies umfasst alle Arten von Zertifikaten, die in Chrome für die TLS-Serverauthentifizierung verwendet werden, einschließlich Qualified Website Authentication Certificates (QWACs) und Zertifikate, die zur Einhaltung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) verwendet werden. Andere Anwendungsfälle, wie TLS-Client-Zertifikate oder die Verwendung von qualifizierten Zertifikaten für digitale Signaturen, werden jedoch nicht abgedeckt.

Um sicherzustellen, dass die Antwort von Chrome umfassend ist, enthält die Liste der betroffenen Roots alle von Camerfirma betriebenen Roots, die technisch in der Lage sind, TLS-Server-Authentifizierungszertifikate auszustellen, auch wenn diese Roots derzeit nicht für die Ausstellung von TLS-Server-Authentifizierungszertifikaten verwendet werden. Bitte beachten Sie jedoch, dass die von uns angekündigten Änderungen für Chrome keinen Einfluss auf die Gültigkeit dieser Roots für andere Arten der Authentifizierung haben, sondern nur auf die aktuelle und zukünftige Verwendung dieser Roots für die TLS-Server-Authentifizierung in Chrome.“

Im Laufe der Jahre haben sich Browser-Hersteller oft zusammengetan, um Zertifizierungsstellen rauszuwerfen, die sich nicht an die Regeln halten. Andere CAs, die in der Vergangenheit aus Chrome verbannt wurden, sind Symantec, DigiNotar und WoSign und deren Tochterunternehmen StartCom. Dies führte dazu, dass Unternehmen wie DigiNotar Konkurs anmeldeten und Symantec sein CA-Geschäft an DigiCert verkaufte, nachdem ihre Zertifikate in modernen Browsern zu Parias wurden.

Zum Zeitpunkt der Erstellung dieses Artikels hat kein anderer Browserhersteller ein ähnliches Verbot von Camerfirma-Zertifikaten angekündigt, aber Branchenexperten erwarten ähnliche Entscheidungen von den anderen drei (Apple, Microsoft und Mozilla) in den kommenden Wochen. Nichtsdestotrotz ist allein das Google-Verbot mehr als genug, um das Geschäft von Camerfirma zu lähmen. Bei einem Marktanteil von etwa 60 bis 70 % ist das Chrome-Verbot de facto ein Todesstoß.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

ZDNet.de Redaktion

Recent Posts

Erneut mehr als 90 schädliche Apps im Google Play Store entdeckt

Sie verbreiten einen Banking-Trojanern. Die Hintermänner nehmen mit Anatsa auch Nutzer in Deutschland ins Visier.

8 Stunden ago

Markt für KI-Chips wächst 2024 voraussichtlich um 33 Prozent

Das Volumen des Markts steigt auf rund 71 Milliarden Dollar. Der Bereich KI-Beschleuniger für Server…

8 Stunden ago

Container und Kubernetes für Cybersicherheitsvorfälle in Deutschland verantwortlich

Das gilt vor allem für Unternehmen mit mehreren Standorten. Viele Vorfälle sind auf Konfigurationsfehler und…

8 Stunden ago

17 Prozent der Bundesbürger bereits auf Phishing hereingefallen

Mehr als die Hälfte der Nutzer in Deutschland kann nach eigenen Angaben Phishing und Spam…

9 Stunden ago

Neue Technologie in Browsergames – Flash verschwindet und wird durch HTML5 ersetzt

Browsergames haben seit den frühen 2000er Jahren eine enorme Popularität erlangt und Millionen von Spielern…

10 Stunden ago

Salesforce schmiedet Datenallianz

Der CRM-Marktführer stellt ein neues Ökosystem vor, das die Integration von Kunden- und Marktdaten erleichtern…

2 Tagen ago