Google misstraut von Symantec ausgestellten TLS-Zertifikaten

Symantec (Bild: Symantec)

Google wirft Symantec gravierende Fehler bei deren Vergabe vor. Es stuft in seinem Browser Chrome die Gültigkeit der Symantec-Zertifikate daher schrittweise herunter. Während Chrome 59 sie noch 33 Monate gelten lässt, sind es bei Chrome 64 nur noch 9 Monate.

Google hat angekündigt, von Symantec ausgestellten TLS-Zertifikaten mit seinem Browser Chrome nur noch einen befristeten Zeitraum zu vertrauen. Die Zeitdauer soll zudem schrittweise reduziert werden. Als Grund dafür führen die Chrome-Entwickler mehrere gravierender Fehler bei der Vergabe von Sicherheitszertifikaten durch Symantec an. Diese Zertifikate bestätigen Anwendern unter anderem die digitale Identität einer Website sowie die Nutzung einer per TLS / SSL verschlüsselten HTTP-Verbindung.

Symantec  (Bild: Symantec)
Google hat die Vergabepraxis für Zertifikate durch Symantec schon öfter kritisiert und ergreift jetzt Maßnahmen. (Bild: Symantec)

Vor kurzem musste Symantec zum wiederholten Male fehlerhafte Zertifikate sperren. Eine Untersuchung habe Google zufolge ergeben, dass Symantecs Vergabepraxis und mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen eine erhebliche Gefahr für die Nutzer darstelle. Google-Entwickler Ryan Sleevi, kritisiert die jahrelangen Probleme mit Symantecs Vergabepraxis und wünschte sich offenbar noch drastischere Maßnahmen. Aufgrund der weiten Verbreitung der Symantec-Zertifikate sowie potenziellen Problemen mit Interoperabilität und Kompatibilität, soll nun nur die Zeitdauer befristet werden, der Chrome den Symantec-Zertifikaten vertraut.

Symantec bezeichnete Googles Vorhaben als “verantwortungslos”. Das Unternehmen stellt über 30 Prozent aller Zertifikate bereit. Das ist auch darauf zurückzuführen, dass es in der Vergangenheit die Zertifizierungsstellen Thawte, Verisign und Equifax übernommen hat.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Chrome 59 gesteht den Symantec-Zertifikaten nun noch eine Gültigkeit von 33 Monaten zu. Dieser Zeitraum soll sich mit jeder Version reduzieren. Bei Chrome 64, der für den 30. Januar 2018 geplanten Version des Browsers, soll sie dann nur noch neun Monaten betragen. Darüber hinaus will Google Symantec den sogenannten Extended-Validation-Status für mindestens ein Jahr entziehen und durchsetzen, dass alle derzeit gültigen Zertifikate neu ausgegeben werden müssen.

Google stufte bereits 2015 ein Root-Zertifikat von Symantec für Chrome und Android als nicht vertrauenswürdig ein. Es enthielt einen RSA-Schlüssel mit einer Länge von 1024 Bit. Der entsprach damals schon nicht mehr den Vorgaben des CA/Browser Forum. Symantec hatte außerdem unautorisiert Zertifikate für google.com sowie www.google.com ausgestellt. Diese Zertifikate seien nur für interne Testzwecke genutzt, erklärte Symantec damals. Wären sie jedoch Unbefugten in die Hände gefallen, hätten sie für Überwachung und Datendiebstahl missbraucht werden können. Google forderte damals eine gründliche Aufklärung des Falls und drohte damit, in Chrome vor Websites mit Symantec-Zertifikat zu warnen.

[mit Material von Bernd Kling, ZDNet.de]