Google misstraut von Symantec ausgestellten TLS-Zertifikaten

Google hat angekündigt, von Symantec ausgestellten TLS-Zertifikaten mit seinem Browser Chrome nur noch einen befristeten Zeitraum zu vertrauen. Die Zeitdauer soll zudem schrittweise reduziert werden. Als Grund dafür führen die Chrome-Entwickler mehrere gravierender Fehler bei der Vergabe von Sicherheitszertifikaten durch Symantec an. Diese Zertifikate bestätigen Anwendern unter anderem die digitale Identität einer Website sowie die Nutzung einer per TLS / SSL verschlüsselten HTTP-Verbindung.

Symantec (Bild: Symantec)
Google hat die Vergabepraxis für Zertifikate durch Symantec schon öfter kritisiert und ergreift jetzt Maßnahmen. (Bild: Symantec)

Vor kurzem musste Symantec zum wiederholten Male fehlerhafte Zertifikate sperren. Eine Untersuchung habe Google zufolge ergeben, dass Symantecs Vergabepraxis und mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen eine erhebliche Gefahr für die Nutzer darstelle. Google-Entwickler Ryan Sleevi, kritisiert die jahrelangen Probleme mit Symantecs Vergabepraxis und wünschte sich offenbar noch drastischere Maßnahmen. Aufgrund der weiten Verbreitung der Symantec-Zertifikate sowie potenziellen Problemen mit Interoperabilität und Kompatibilität, soll nun nur die Zeitdauer befristet werden, der Chrome den Symantec-Zertifikaten vertraut.

Symantec bezeichnete Googles Vorhaben als “verantwortungslos”. Das Unternehmen stellt über 30 Prozent aller Zertifikate bereit. Das ist auch darauf zurückzuführen, dass es in der Vergangenheit die Zertifizierungsstellen Thawte, Verisign und Equifax übernommen hat.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Chrome 59 gesteht den Symantec-Zertifikaten nun noch eine Gültigkeit von 33 Monaten zu. Dieser Zeitraum soll sich mit jeder Version reduzieren. Bei Chrome 64, der für den 30. Januar 2018 geplanten Version des Browsers, soll sie dann nur noch neun Monaten betragen. Darüber hinaus will Google Symantec den sogenannten Extended-Validation-Status für mindestens ein Jahr entziehen und durchsetzen, dass alle derzeit gültigen Zertifikate neu ausgegeben werden müssen.

Google stufte bereits 2015 ein Root-Zertifikat von Symantec für Chrome und Android als nicht vertrauenswürdig ein. Es enthielt einen RSA-Schlüssel mit einer Länge von 1024 Bit. Der entsprach damals schon nicht mehr den Vorgaben des CA/Browser Forum. Symantec hatte außerdem unautorisiert Zertifikate für google.com sowie www.google.com ausgestellt. Diese Zertifikate seien nur für interne Testzwecke genutzt, erklärte Symantec damals. Wären sie jedoch Unbefugten in die Hände gefallen, hätten sie für Überwachung und Datendiebstahl missbraucht werden können. Google forderte damals eine gründliche Aufklärung des Falls und drohte damit, in Chrome vor Websites mit Symantec-Zertifikat zu warnen.

[mit Material von Bernd Kling, ZDNet.de]

Redaktion

Recent Posts

Cyberangriffe im KI-Zeitalter: Warum Resilienz und Sicherheitskultur entscheidend sind

Mitarbeiter spielen eine entscheidende Rolle für die Cyber-Resilienz eines Unternehmens, sagt Dr. Martin J. Krämer…

18 Stunden ago

KI-Agenten erfolgreich integrieren

Doch trotz steigendem Interesse wissen viele Unternehmen nicht, wo sie anfangen sollen, um KI-Agenten sinnvoll…

2 Tagen ago

Plusnet: Innovative Analytics mit Microsoft Fabric

Fabric hilft Plusnet bei der Etablierung einer stringenten Datenkultur und ermöglicht es den Fachbereichen, geschäftlichen…

2 Tagen ago

Schluss mit Silos: Google macht KI herstelleragnostisch

Der tatsächliche Mehrwert von KI-Agenten zeigt sich erst dann, wenn sie über System- und Herstellergrenzen…

2 Tagen ago

Energieeffiziente KI dank innovativer ferroelektrischer Technologie

Ferroelektrisches Oxid verringert den Energieverbrauch erheblich und verkürzt Latenzzeiten von Computerarchitekturen.

4 Tagen ago

Erfolgsstrategie Hyperscaler: Wie Unternehmen ihre Chancen in der Cloud maximieren

Hyperscaler ermöglichen ISVs eine schnellere Markteinführung ihrer Produkte, wobei damit die verbundenen Herausforderungen steigen, sagt…

5 Tagen ago