Abo

Services:

Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 2,50€ im Monat

Im Symantec-Hauptquartier dürften einige Leute gerade nervös werden - Googles Androhung könnte durchaus existenzbedrohend für die Firma sein. (Bild: LPS.1/Wikimedia Commons/CC0 1.0)

Keine Extended-Validation-Zertifikate mehr von Symantec

Noch mehr treffen dürfte Symantec, dass Google ihm die Berechtigung für sogenannte Extended-Validation-Zertifikate (EV) entziehen will. Diese Zertifikate sind deutlich teurer als normale Zertifikate, für die nur eine sogenannte Domain Validation (DV) durchgeführt wird. Bei EV-Zertifikaten wird im Browser eine grüne Leiste mit dem Firmennamen angezeigt.

EV-Zertifikate sind inzwischen für viele Zertifizierungsstellen die wichtigste Einnahmequelle - obwohl ihr Nutzen umstritten ist. Technisch besteht zwischen günstigen oder kostenlosen DV-Zertifikaten und teuren EV-Zertifikaten kein Unterschied. Unterschiedlich ist lediglich die Anzeige im Browser.

Dank Let's Encrypt nutzen viele Kunden inzwischen kostenlose DV-Zertifikate. Alle bestehenden EV-Zertifikate von Symantec verlieren nach Googles Plänen ihren Status. Symantec-Kunden, die 1.000 Dollar oder mehr für ein entsprechendes Zertifikat ausgegeben haben, werden hier vermutlich auch ihr Geld zurückfordern. Laut Google könne Symantec das Vertrauen zur Ausstellung von EV-Zertifikaten zurückgewinnen, allerdings frühestens in einem Jahr.

In einer Stellungnahme an Golem.de schreibt Symantec, dass Google den Vorfall übertreibe und missverständlich darstelle. Es seien nicht 30.000 Zertifikate betroffen, sondern nur 127. Dabei handelt es sich um die Zertifikate, die Andrew Ayer ursprünglich entdeckt hatte und die von Crosscert ausgestellt wurden. Die unterschiedliche Darstellung dürfte sich dadurch erklären, dass Symantec nur die Zertifikate, die unberechtigterweise für fremde Domains ausgestellt wurden, als problematisch erachtet. Google sieht aber offenbar alle Zertifikate, die von nicht hinreichend auditierten Partnern ausgestellt wurden, als nicht vertrauenswürdig an.

Offenbar wurde Symantec von Googles Ankündigung überrascht. Dort scheint man diese aber bislang nicht sehr ernst zu nehmen. Laut Ars Technica sagte Symantec, dass Kunden und Partner, die Symantecs TLS-Zertifikate nutzten, zurzeit keine Maßnahmen ergreifen müssten.

Chrome: Google plant drastische Maßnahmen gegen Symantec