Chrome soll ab sofort Zertifikate von Symantec herabstufen

Moritz Rosenfeld on March 26, 2017 - 8:25 am in Security

[ad_1]

Google tadelt abermals Symantec als Zertifizierungsstelle. Als erstes soll Chrome nun Zertifikate herabstufen. Als längerfristiges Ziel ist sogar eine Annullierung vorgesehen. Symantec findet das verantwortungslos.

Der Streit zwischen Google und Symantec als Zertifizierungsstelle (CA) für SSL-/TLS-Zertifikate geht in eine neue Runde, Google kündigt drastische Schritte an: Zum einen soll der Webbrowser Chrome ab sofort von der CA ausgestellte Zertifikate herabstufen. Auf lange Sicht will Google sogar allen derzeit als vertrauenswürdig eingestuften Symantec-Zertifikaten das Vertrauen entziehen.

Der Grund dafür ist unter anderem Googles Beobachtung, dass Symantec über mehrere Jahre rund 30.000 Zertifikate ausgestellt hat, die nicht den Richtlinien entsprechen. In einem Statement führt Symantec aus, dass Googles aktuelle Reaktion für sie unerwartet kam. Zudem stufen sie die geplante Aktionen als verantwortungslos ein.

Aktuelle Konsequenzen

Ab sofort soll Chrome nicht mehr den Extended-Validation-Status (EV) von Symantec-Zertifikaten anerkennen und somit in der Adressleiste keine erweiterten Infos zum Domain-Inhaber anzeigen. Beim EV-Standard handelt es sich um eine erweiterte Überprüfung des Antragsstellers, sodass Besucher sicherer sein können, eine legitime Webseite zu besuchen.

Chrome soll derartigen Symantec-Zertifikaten nur noch eine als weniger sicher geltende Domain-Validation bescheinigen. Diese Vorgehensweise will Google eigenen Angaben zufolge für mindestens ein Jahr verfolgen.

Kein Vertrauen mehr

Auf Dauer soll Chrome allen derzeitig als vertrauenswürdig eingestuften Symantec-Zertifikaten nicht mehr vertrauen. Symantec ist ein Riese im CA-Geschäft und soll Firefox zufolge für rund 42 Prozent aller bestätigten SSL-/TLS-Zertifiakte verantwortlich sein. Vertraut Chrome diesen Zertifikaten nicht mehr, sind Webseiten über den Browser im schlimmsten Fall nicht mehr erreichbar.

Damit es nicht zu einem Super-GAU kommt, soll Chrome in anstehenden Versionen Symantec-Zertifikaten immer kürzeren Zeiträumen vertrauen. Bei Chrome 59 sollen das noch 33 Monate nach der Ausstellung sein; bei Chrome 64 soll diese Spanne nur noch neun Monate betragen. Dadurch hätten Webseitenbetreiber Zeit, Symantec-Zertifikate gegen revalidierte Versionen auszutauschen, erläutert Google.

Schwelender Streit

Das Vertrauen zwischen Google und Symantec ist schon länger erschüttert: So hantierte Symanetec 2015 mit einem falschen Google-Zertifikat. Anschließend stellte Google der CA das Ultimatum, ihr Certificate-Transparency-Modell zu unterstützen. Dieser Ansatz soll etwa sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden. Im Jahr 2016 zog Google dann die Daumenschrauben weiter an und drohte, von Symantec ausgestellte Zertifikate in Chrome visuell herabzustufen. Anfang 2017 kam es erneut zu Problemen mit von Symantec ausgestellten Zertifikaten.

[UPDATE, 24.03.2017 12:50 Uhr]

Verweis auf das Statement von Symantec in Fließtext eingebaut. (des)

[ad_2]