Google geht gegen Symantec-Zertifikate vor
Der Webbrowser Chrome soll künftig SSL-/TLS-Zertifikate von Symantec herunterstufen. Davon sind auch Zertifikate der zum Sicherheitsunternehmen gehörenden Zertifizierungsstellen (CA) wie Equifax, Geotrust, TC Trustcenter, Thawte und Verisign betroffen. In naher Zukunft will Google sogar allen derzeit als vertrauenswürdig eingestuften Symantec-Zertifikaten das Vertrauen entziehen. Google betrachtet die CA bereits seit 2015 kritisch. In der Vergangenheit hat Symantec immer wieder mit nicht korrekt ausgestellten Zertifikaten für Schlagzeilen gesorgt. Laut Google haben sich über die Jahre 30.000 derartiger Zertifikate angesammelt.
Chrome erkennt den Extended-Validation-Status (EV) von Symantec-Zertifikaten nicht mehr an. Das ist besonders bitter für viele Symantec-Kunden: Wer die erweiterte Überprüfung über sich ergehen ließ und dafür auch richtig Geld ausgegeben hat, steht jetzt im Regen: Statt des grünen Schlosses mit Namen des Domain-Inhabers zeigt Chrome ab sofort nur das Schloss mit der Kennzeichnung „Sicher“ in der Adressleiste an, wie es bei Domain-Validated-Zertifikaten der Fall ist. Diese Vorgehensweise will Google eigenen Angaben zufolge für mindestens ein Jahr verfolgen.
Auf Dauer soll Chrome allen Symantec-Zertifikaten misstrauen. Symantec ist ein Riese im CA-Geschäft und soll Firefox zufolge für rund 42 Prozent aller bestätigten SSL-/TLS-Zertifikate verantwortlich zeichnen. Vertraut Chrome diesen Zertifikaten nicht mehr, sind Webseiten über den Browser im schlimmsten Fall nicht mehr erreichbar.
Damit es zu keinem Super-GAU kommt, verkürzt Chrome mit jeder neuen Version den Zeitraum, in dem ein neu erstelltes Symantec-Zertifikat als sicher gilt. Bei Chrome 59 sollen das noch 33 Monate nach der Ausstellung sein; bei Chrome 64 soll diese Spanne nur noch neun Monate betragen. Dadurch hätten Webseitenbetreiber Zeit, Symantec-Zertifikate gegen revalidierte Versionen auszutauschen, erläutert Google. In einem Statement führt Symantec aus, dass Googles aktuelle Reaktion für sie unerwartet kam. Zudem stufen sie die geplante Aktionen als verantwortungslos ein und befürchten eine Rufschädigung. (des@ct.de)