Abo
  • Services:
Anzeige
Im Symantec-Hauptquartier dürften einige Leute gerade nervös werden - Googles Androhung könnte durchaus existenzbedrohend für die Firma sein.
Im Symantec-Hauptquartier dürften einige Leute gerade nervös werden - Googles Androhung könnte durchaus existenzbedrohend für die Firma sein. (Bild: LPS.1/Wikimedia Commons/CC0 1.0)

Chrome: Google plant drastische Maßnahmen gegen Symantec

Im Symantec-Hauptquartier dürften einige Leute gerade nervös werden - Googles Androhung könnte durchaus existenzbedrohend für die Firma sein.
Im Symantec-Hauptquartier dürften einige Leute gerade nervös werden - Googles Androhung könnte durchaus existenzbedrohend für die Firma sein. (Bild: LPS.1/Wikimedia Commons/CC0 1.0)

Nach mehreren Vorfällen, bei denen Symantec offenbar die Kontrolle über seine Zertifikatsinfrastruktur verloren hatte, plant Google nun drastische Maßnahmen. Das könnte für Symantec existenzbedrohend werden.

Für die Firma Symantec dürften schwierige Zeiten anbrechen. Chrome-Entwickler Ryan Sleevi kündigte auf einer Entwicklermailingliste an, welche Maßnahmen Google plant, um auf fehlerhafte Zertifikatsausstellungen von Symantec zu reagieren.

Anzeige

Über einen Zeitraum von mehreren Monaten sollen schrittweise alle momentan gültigen und von Symantec ausgestellten Zertifikate ungültig werden. Symantec kann zwar weiterhin neue Zertifikate ausstellen, die dürfen aber nur noch neun Monate gültig sein. Und die teuren und daher bei Zertifizierungsstellen besonders beliebten Extended-Validation-Zertifikate darf Symantec vorerst überhaupt nicht mehr ausstellen, bestehende Extended-Validation-Zertifikate sind damit praktisch wertlos. Symantec verkauft Zertifikate unter verschiedenen Produktnamen, auch zu Symantec gehörende Marken wie Thawte, Geotrust oder Verisign sind davon betroffen.

30.000 Zertifikate von unzuverlässigen Partnern ausgestellt

Der Hintergrund: Anfang Januar fand Andrew Ayer von der Firma SSLMate heraus, dass in den Certificate-Transparency-Logdaten mehrere Testzertifikate zu finden waren, die für Domains ausgestellt waren, deren Inhaber diese nicht beantragt hatten. Ausgestellt wurden diese jedoch nicht von Symantec selbst, sondern von einer Firma namens Crosscert.

Nach Recherchen von Google und Mozilla stellte sich jedoch heraus, dass das Problem weit größer war. Insgesamt vier Firmen hatten Kontrolle über die Infrastruktur von Symantec, konnten Zertifikate ausstellen und wurden dabei über Jahre hinweg nicht hinreichend kontrolliert. Von diesen vier Firmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt. Offenbar ist es jedoch technisch nicht feststellbar, welche Zertifikate davon betroffen sind - sie sind identisch mit anderen von Symantec ausgestellten Zertifikaten. Daher besteht keine Möglichkeit, nur diesen Zertifikaten das Vertrauen zu entziehen.

Laut Ryan Sleevi hatte Symantec von einigen dieser Vorfälle bereits gewusst, diese jedoch nicht öffentlich eingestanden. Auch hätte Symantec mehrfach auf Fragen von Google und Mozilla bei der Recherche nicht ausreichend geantwortet. Symantec stand bereits vor dem Vorfall unter verschärfter Beobachtung, da schon 2015 zu Testzwecken von Symantec unberechtigt Zertifikate ausgestellt wurden, unter anderem für Domains von Google selbst.

Symantec hatte damit vielfach gegen die Regelungen des CA/Browser-Forums verstoßen. In dieser Organisation legen Zertifizierungsstellen und Browserhersteller gemeinsam Regelungen fest, an die sich TLS-Zertifizierungsstellen halten müssen.

Alle Zertifikate müssten ersetzt werden

Sollte Google die jetzt vorgestellten Maßnahmen tatsächlich verwirklichen, dürfte das für Symantec drastische Auswirkungen haben. Alle Symantec-Kunden müssen ihre Zertifikate ersetzen. Das soll schrittweise erfolgen. Zunächst werden alle Zertifikate mit einer Laufzeit von über 33 Monaten ungültig. Schrittweise soll dieser Wert weiter gesenkt werden. In Version 64, die Anfang 2018 erscheint, sollen nur noch Zertifikate mit einer Gültigkeit von neun Monaten akzeptiert werden.

Die Verkürzung der Zertifikatslaufzeit entspricht einem generellen Wunsch von Google. Das ist auch ein Resultat aus der Diskussion um die Abschaffung von SHA-1. Da viele Zertifikate Laufzeiten von mehreren Jahren haben, dauert es oft sehr lange, bis Änderungen durchgesetzt werden können. Vor kurzem hatte Google daher versucht, im CA/Browser-Forum eine Begrenzung der Laufzeit von Zertifikaten auf 398 Tage festzuschreiben. Mozilla unterstützte Googles Pläne, doch von den Zertifizierungsstellen gab es heftigen Widerstand. Nur Let's Encrypt stimmte für diese Änderung, 24 Zertifizierungsstellen stimmten dagegen, drei enthielten sich.

Keine Extended-Validation-Zertifikate mehr von Symantec 

eye home zur Startseite
Rulf 30. Mär 2017

und da braucht sich niemand an die regeln halten, weil sie weder kontrolliert noch strikt...

Themenstart

My1 27. Mär 2017

also ich hab nen etwas aufgemotzten (SSD, mehr RAM) dell inspiron 17 3721. ich fahr nach...

Themenstart

My1 27. Mär 2017

ja mag sein, wobei zumindest ich als ich damals mir online banking machen lassen habe, no...

Themenstart

Xiut 27. Mär 2017

Es geht um... Und das ist kompletter Unsinn und stimmt absolut nicht...

Themenstart

TechnikSchaaf 26. Mär 2017

... nicht aber all jene von denen man nicht weis ob sie eventuell auch unberechtigter...

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. T-Systems International GmbH, Berlin, München, Leinfelden-Echterdingen, Wolfsburg, Bonn
  2. ING-DiBa AG, Nürnberg
  3. Daimler AG, Sindelfingen
  4. T-Systems International GmbH, Berlin, Leinfelden-Echterdingen, München, Wolfsburg, Bonn


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 259,00€
  3. 11,99€

Folgen Sie uns
       


  1. Tim Dashwood

    Entwickler von 360VR Toolbox verschenkt seine Software

  2. UEFI-Update

    Agesa 1004a lässt Ryzen-Boards schneller booten

  3. Sledgehammer Games

    Call of Duty WWII spielt wieder im Zweiten Weltkrieg

  4. Mobilfunk

    Patentverwerter klagt gegen Apple und Mobilfunkanbieter

  5. Privatsphäre

    Bildungsrechner spionieren Schüler aus

  6. Raumfahrt

    Chinesischer Raumfrachter Tanzhou 1 dockt an Raumstation an

  7. Die Woche im Video

    Kein Saft, kein Wumms, keine Argumente

  8. Windows 7 und 8

    Github-Nutzer schafft Freischaltung von neuen CPUs

  9. Whitelist umgehen

    Node-Server im Nvidia-Treiber ermöglicht Malware-Ausführung

  10. Easy S und Easy M

    Vodafone stellt günstige Einsteigertarife ohne LTE vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt
  1. Quantenmechanik Malen nach Zahlen für die weltbesten Mathematiker
  2. IBM Q Qubits as a Service
  3. Rechentechnik Ein Bauplan für einen Quantencomputer

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroauto Volkswagen I.D. Crozz soll als Crossover autonom fahren
  2. Sportback Concept Audis zweiter E-tron ist ein Sportwagen
  3. Vision E Skoda will elektrisch überzeugen

Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

  1. Re: ww2 ist langweilig

    Ganym3d | 07:22

  2. Re: Bootzeit?

    tomacco | 07:13

  3. Re: 40k für einen Kleinwagen?

    ArcherV | 07:10

  4. Grammatik: "Das Konzept ähnelt dem europäischen...

    s01q | 07:02

  5. Re: frage zu Passmark CPU benchmarks

    DetlevCM | 06:35


  1. 07:24

  2. 12:40

  3. 11:55

  4. 15:19

  5. 13:40

  6. 11:00

  7. 09:03

  8. 18:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel