Verschnaufpause für Symantec-Zertifikate
Der Web-Browser Google Chrome akzeptiert vorerst weiterhin Zertifikate, die von Symantecs Zertifizierungsstellen (Certification Authority, CA) ausgestellt wurden. Inhaber müssen nichts weiter tun – zumindest, bis Verhandlungen zwischen Symantec und Google abgeschlossen sind. Hintergrund ist Googles Vorwurf von Schlampereien auf Seiten Symantecs, durch die in den vergangenen Jahren rund 30.000 Zertifikate falsch ausgestellt worden seien – Vorwürfe, die Symantec zurückweist; es habe lediglich ein Missverständnis gegeben.
Google hatte angedroht, Extended-Validation-Zertifikate von Symantec-CAs wie Thawte und Verisign herabzustufen. In der Konsequenz würde Googles Chrome-Browser Verbindungen zu Websites mit derartigen Zertifikaten nicht mehr mit dem Namen des Inhabers markieren, sondern nur noch als „sicher“ bezeichnen, was sonst bei den einfacheren Domain-Validated-Zertifikaten passiert. Zudem will Google eine regelmäßigere Erneuerung von Zertifikaten durch Symantecs CAs forcieren: Chrome soll neu ausgestellten Zertifikaten künftig maximal neun Monate vertrauen und auch bereits ausgestellte Zertifikate infrage stellen und revalidierte Versionen einfordern.
Symantec hat angekündigt, dass seinen Kunden für Neuausstellungen von Zertifikaten keinerlei Mehrkosten entstehen sollen, sollte Google seine Drohung wahr machen. (des@ct.de)