Google ergreift Maßnahmen gegen Symantec

(Bild: Shutterstock/Cousin_Avi)

Google findet die Zertifizierungspraxis von Symantec nicht gut und will nun die Gültigkeit der Zertifikate schrittweise herabstufen. Bei Chrome 64 sollen es nur noch 9 Monate sein.

Google will den von Symantec ausgegebenen TLS-Zertifikaten in mehreren Stufen das Vertrauen entziehen. Das kann Symantec schwer schaden, doch Google sieht sich im Recht.

Den Symantec-Zertifikaten will Chrome 59 noch eine Gültigkeit von 33 Monaten zugestehen, doch danach geht es bergab. Das für Ende Januar 2018 geplante Chrome 64 soll Symantecs Zertifikaten nur noch 9 Monaten lang vertrauen. Danach wird selbst bei verschlüsselten Internetverbindungen gewarnt.

Die Chrome-Entwickler werfen Symantec eine Serie gravierender Fehler bei der Vergabe von Sicherheitszertifikaten vor, die Anwendern unter anderem die Nutzung einer per TLS / SSL verschlüsselten HTTP-Verbindung sowie die digitale Identität einer Website bestätigen. Erst kürzlich musste Symantec erneut fehlerhafte Zertifikate sperren, nachdem ein unabhängiger Sicherheitsforscher den Missbrauch der Zertifikate aufgedeckt hatte. Eine Untersuchung ergab laut Google, dass Symantecs Vergabepraxis und mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen die Nutzer erheblich gefährdet.

Lies auch: Symantec: Fünf Millionen Android-Nutzer von Malware-Attacke betroffen

Symantec nannte Googles geplantes Vorgehen „verantwortungslos“. Dabei hätte sich Google-Entwickler Ryan Sleevi, der die geplanten Schritte in einer Mailingliste für Entwickler ankündigte, nach jahrelangen Problemen mit Symantecs Vergabepraxis offenbar sofort greifende und entschiedenere Maßnahmen gewünscht. Zu berücksichtigen waren jedoch auch potentielle Probleme mit Interoperabilität und Kompatibilität, da Symantec mehr als 30 Prozent aller Zertifikate bereitstellt. Das Kompatibilitätsrisiko sei besonders hoch bei von Symantec ausgegebenen Zertifikaten, da die Sicherheitsfirma einige der ersten Certificate Authorities (CAs) wie Thawte, Verisign und Equifax übernommen hatte, die zu den besonders breit unterstützten Zertifizierungsstellen zählen.

Schon 2015 stufte Google für Chrome und Android ein Root-Zertifikat von Symantec als nicht vertrauenswürdig ein, weil es einen RSA-Schlüssel mit einer Länge von 1024 Bit enthielt, der nicht mehr als sicher angesehen wurde und auch nicht mehr den Vorgaben des CA/Browser Forum entsprach. Das Sicherheitsunternehmen musste außerdem die unautorisierte Ausstellung von Zertifikaten für google.com sowie www.google.com einräumen. Laut Symantec wurden diese zwar nur für interne Testzwecke genutzt. In unbefugte Hände geraten, hätten sie jedoch für Überwachung und Datendiebstahl eingesetzt werden können. Google forderte eine gründliche Aufklärung des Falls und drohte im Oktober 2015 bereits damit, andernfalls in Chrome vor Websites mit Symantec-Zertifikat zu warnen.

Tags :Quellen:Mit Material von Bernd Kling, ZDNet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising