Google geht gegen Symantec-Zertifikate vor

Für EV-Zertifikate von Symantecs CAs soll Chrome in der Adressleiste keine Eigentümer mehr anzeigen.

Der Webbrowser Chrome soll künftig SSL-/TLS-Zertifikate von Symantec herunterstufen. Davon sind auch Zertifikate der zum Sicherheitsunternehmen gehörenden Zertifizierungsstellen (CA) wie Equifax, Geotrust, TC Trustcenter, Thawte und Verisign betroffen. In naher Zukunft will Google sogar allen derzeit als vertrauenswürdig eingestuften Symantec-Zertifikaten das Vertrauen entziehen. Google betrachtet die CA bereits seit 2015 kritisch. In der Vergangenheit hat Symantec immer wieder mit nicht korrekt ausgestellten Zertifikaten für Schlagzeilen gesorgt. Laut Google haben sich über die Jahre 30.000 derartiger Zertifikate angesammelt.

Chrome erkennt den Extended-Validation-Status (EV) von Symantec-Zertifikaten nicht mehr an. Das ist besonders bitter für viele Symantec-Kunden: Wer die erweiterte Überprüfung über sich ergehen ließ und dafür auch richtig Geld ausgegeben hat, steht jetzt im Regen: Statt des grünen Schlosses mit Namen des Domain-Inhabers zeigt Chrome ab sofort nur das Schloss mit der Kennzeichnung „Sicher“ in der Adressleiste an, wie es bei Domain-Validated-Zertifikaten der Fall ist. Diese Vorgehensweise will Google eigenen Angaben zufolge für mindestens ein Jahr verfolgen.

Auf Dauer soll Chrome allen Symantec-Zertifikaten misstrauen. Symantec ist ein Riese im CA-Geschäft und soll Firefox zufolge für rund 42 Prozent aller bestätigten SSL-/TLS-Zertifikate verantwortlich zeichnen. Vertraut Chrome diesen Zertifikaten nicht mehr, sind Webseiten über den Browser im schlimmsten Fall nicht mehr erreichbar.

Damit es zu keinem Super-GAU kommt, verkürzt Chrome mit jeder neuen Version den Zeitraum, in dem ein neu erstelltes Symantec-Zertifikat als sicher gilt. Bei Chrome 59 sollen das noch 33 Monate nach der Ausstellung sein; bei Chrome 64 soll diese Spanne nur noch neun Monate betragen. Dadurch hätten Webseitenbetreiber Zeit, Symantec-Zertifikate gegen revalidierte Versionen auszutauschen, erläutert Google. In einem Statement führt Symantec aus, dass Googles aktuelle Reaktion für sie unerwartet kam. Zudem stufen sie die geplante Aktionen als verantwortungslos ein und befürchten eine Rufschädigung. (des@ct.de)

Support-Ende für Windows Vista

Am 11. April will Microsoft zum letzten Mal Sicherheits-Updates für Windows Vista veröffentlichen. Alle nach diesem Termin gefundenen Lücken bleiben ungefixt.

Vista an sich läuft zwar weiter, sollte danach aber besser nicht mehr ans Internet. Dass Vista wegen seiner nur noch sehr geringen Verbreitung kaum noch direkt angegriffen wird, hilft dabei nicht. Denn in Vista enthaltener Code steckt auch noch in den Nachfolgern, darin neu gefundene Sicherheitslücken werden bei Vista aber nicht mehr geschlossen, was zu Angriffen einlädt.

Von Vista Home kann man per Upgrade unter Beibehaltung aller Daten, Anwendungen und Einstellungen ausschließlich auf Windows 7 Home oder Ultimate umsteigen, von Vista Business aus kommt man so nur auf Professional oder Ultimate. Eine passende Windows-7-Lizenz muss vorhanden sein. Derzeit lässt sich Windows 7 noch kostenlos in einem zweiten Upgrade-Prozess in Windows 10 umwandeln. Alle anderen Arten von Umstieg erfordern eine Neuinstallation, das gilt auch für den Wechsel von 32 auf 64 Bit.

Die Support-Deadline für die Nachfolger stehen ebenfalls fest: Windows 7 erreicht den Termin am 14. Januar 2020, Windows 8.1 am 10. Januar 2023. Für Windows 10 nennt Microsoft dank der regelmäßigen Aktualisierungen, die sich nicht verhindern lassen („Windows as a Service“), kein Datum für das Support-Ende. Ausgenommen sind hier die Firmenkunden vorbehaltenen LTSB-Editionen, die wie gewohnt zehn Jahre Support erhalten. Microsoft veröffentlicht diese Termine alle im Lifecycle Guide. (axv@ct.de)

Support-Dauer für Windows: ct.de/yqnf