Google verbannt Camerfirma

Das von Ryan Sleevi, Staff Software Engineer Google, ausgesprochene Verbot der digitalen Zertifikate der spanischen Zertifizierungsstelle (CA) Camerfirma wird mit dem Start von Chrome 90 in Kraft treten, dessen Veröffentlichung für Mitte April 2021 geplant ist. Nach dem Start von Chrome 90 werden alle Websites, die TLS-Zertifikate von Camerfirma verwenden, um ihren HTTPS-Verkehr abzusichern, einen Fehler anzeigen und in Zukunft nicht mehr in Chrome geladen.

Die Entscheidung, Camerfirma-Zertifikate zu verbieten, wurde am Montag bekannt gegeben, nachdem dem Unternehmen mehr als sechs Wochen Zeit gegeben wurde, um eine Reihe von 26 Vorfällen im Zeitraum von 2017 bis 2021 im Zusammenhang mit seinem Zertifikatsausstellungsprozess zu erklären.

Die Vorfälle, die Mozilla detailliert beschreibt, reichen bis März 2017 zurück. Zwei der jüngsten haben sich im Januar 2021 ereignet, nachdem das Unternehmen bereits im Dezember 2020 darauf aufmerksam gemacht wurde, dass es untersucht wird. Die Vorfälle zeichnen laut Mozilla das Bild eines Unternehmens, das bei der Ausstellung von TLS-Zertifikaten für Website-Betreiber, Software-Hersteller und Systemadministratoren in Unternehmen die branchenüblichen Qualitäts- und Sicherheitsstandards nicht eingehalten hat.

Eric Mill, Lead Product Manager, Chrome Security, gab zu diesem Vorfall am 29. Januar 2021 folgende Klarstellung ab: „Chrome akzeptiert keine Camerfirma-Zertifikate mehr, die speziell für die *TLS-Server-Authentifizierung* für Websites verwendet werden. Unsere geplante Aktion bezieht sich auf die Zertifikate, die Chrome verwendet und verifiziert, die nur für die TLS-Server-Authentifizierung verwendet werden. Dies umfasst alle Arten von Zertifikaten, die in Chrome für die TLS-Serverauthentifizierung verwendet werden, einschließlich Qualified Website Authentication Certificates (QWACs) und Zertifikate, die zur Einhaltung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) verwendet werden. Andere Anwendungsfälle, wie TLS-Client-Zertifikate oder die Verwendung von qualifizierten Zertifikaten für digitale Signaturen, werden jedoch nicht abgedeckt.

Um sicherzustellen, dass die Antwort von Chrome umfassend ist, enthält die Liste der betroffenen Roots alle von Camerfirma betriebenen Roots, die technisch in der Lage sind, TLS-Server-Authentifizierungszertifikate auszustellen, auch wenn diese Roots derzeit nicht für die Ausstellung von TLS-Server-Authentifizierungszertifikaten verwendet werden. Bitte beachten Sie jedoch, dass die von uns angekündigten Änderungen für Chrome keinen Einfluss auf die Gültigkeit dieser Roots für andere Arten der Authentifizierung haben, sondern nur auf die aktuelle und zukünftige Verwendung dieser Roots für die TLS-Server-Authentifizierung in Chrome.“

Im Laufe der Jahre haben sich Browser-Hersteller oft zusammengetan, um Zertifizierungsstellen rauszuwerfen, die sich nicht an die Regeln halten. Andere CAs, die in der Vergangenheit aus Chrome verbannt wurden, sind Symantec, DigiNotar und WoSign und deren Tochterunternehmen StartCom. Dies führte dazu, dass Unternehmen wie DigiNotar Konkurs anmeldeten und Symantec sein CA-Geschäft an DigiCert verkaufte, nachdem ihre Zertifikate in modernen Browsern zu Parias wurden.

Zum Zeitpunkt der Erstellung dieses Artikels hat kein anderer Browserhersteller ein ähnliches Verbot von Camerfirma-Zertifikaten angekündigt, aber Branchenexperten erwarten ähnliche Entscheidungen von den anderen drei (Apple, Microsoft und Mozilla) in den kommenden Wochen. Nichtsdestotrotz ist allein das Google-Verbot mehr als genug, um das Geschäft von Camerfirma zu lähmen. Bei einem Marktanteil von etwa 60 bis 70 % ist das Chrome-Verbot de facto ein Todesstoß.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Jakob Jung

Recent Posts

WLAN in Unternehmen: Wie steht es mit der Sicherheit?

Die Installation und der Betrieb eines WLANs in Unternehmen erfordern die Berücksichtigung zahlreicher Faktoren. Mit…

1 Tag ago

Krypto-Manager zu Haftstrafe verurteilt

Der Gründer von zwei inzwischen aufgelösten Kryptowährungs-Hedgefonds wurde wegen Veruntreuung und unerlaubter Investitionen mit Kundengeldern…

1 Tag ago

Microsoft warnt vor manipulierten Office-Dokumenten

Microsoft hat detailliert beschrieben, wie Hacker vor kurzem eine gefährliche Sicherheitslücke in der MSHTML- oder…

1 Tag ago

Datenaufbereitung als Achillesferse

Die Datenaufbereitung stellt Firmen vor neue Herausforderungen. Tandem-Teams aus Business-Stakeholdern und IT-Experten sowie regelmäßige Reviews…

1 Tag ago

Apple: iPhone 13 und mehr

Apple hat sein "California Streaming"-Event abgeschlossen, auf dem das Unternehmen mehrere neue Hardware-Produkte vorgestellt hat,…

3 Tagen ago

Fitness mit Tücken

Über 61 Millionen Wearable- und Fitness-Tracking-Datensätze sind über eine ungesicherte Datenbank des Unternehmens GetHealth offengelegt…

4 Tagen ago