Zertifikate: Auch Google wirft Wosign und Startcom raus
Schlechte Nachrichten für Wosign und Startcom: Beide CAs werden, wie erwartet, künftig nicht mehr in Googles Chrome-Browser akzeptiert, wie das Unternehmen in einem Blogpost angekündigt hat(öffnet im neuen Fenster) . Mit dem Release von Chrome 56 werden nur noch Zertifikate akzeptiert, die vor dem 21. Oktober 2016 ausgestellt wurden – wenn sie einige Bedingungen erfüllen. Zuvor hatten Mozilla und Apple ähnliche Schritte bekanntgegeben.
So müssen die entsprechenden Zertifikate Googles Richtlinien der Certificate Transparency folgen, die das Unternehmen erst vor kurzem überarbeitet hatte . Google schreibt, dass nicht sichergestellt sei, dass alle früher ausgestellten Zertifikate auch wirklich funktionieren, selbst wenn sie die Richtlinien einhalten. Diese Einschränkungen seien nötig, um alle Chrome-Kunden vor missbräuchlich ausgestellten Zertifikaten zu schützen.
Google geht noch einen Schritt weiter
Google geht aber noch einen Schritt weiter als Apple und Mozilla: Denn die Ausnahmen für bereits erstellte Zertifikate sollen nur zeitlich begrenzt gelten und nach und nach zurückgefahren werden. "In künftigen Chrome-Releases werden diese Ausnahmen nach und nach entfernt, was in dem kompletten Vertrauensentzug der betroffenen CAs kulminieren wird. Dieser schrittweise Ansatz ist nur dafür gedacht, dass Webseitenbetreiber die Möglichkeit haben, zu anderen Certificate Authorities zu wechseln, denen weiterhin von Google Chrome vertraut wird."
Google kritisiert die Handlungen von Wosign und Startcom deutlich. Die Unternehmen hätten "wissentlich und bewusst" Zertifikate missbraucht, um Beschränkungen bei SHA1-Zertifikaten durch die Browserhersteller zu umgehen. Außerdem hätten die Unternehmen nach Aufdeckung der Schwachstellen versucht, die Browser-Community in die Irre zu führen. Daher führe kein Weg daran vorbei, den CAs das Vertrauen zu entziehen.