Original-URL des Artikels: https://www.golem.de/news/https-noch-immer-viele-symantec-zertifikate-aktiv-1810-137093.html    Veröffentlicht: 12.10.2018 15:02    Kurz-URL: https://glm.io/137093

HTTPS

Noch immer viele Symantec-Zertifikate aktiv

Das Ende von Symantec als Zertifizierungsstelle ist schon lange besiegelt, aber noch immer verwenden viele Webseiten die Zertifikate. Mozilla sieht sich daher gezwungen, das Ende noch etwas hinauszuzögern.

Es gibt weiterhin sehr viele Webseiten, die für HTTPS-Verbindungen Zertifikate von Symantec einsetzen. Dabei haben zwischenzeitlich alle großen Browserhersteller erklärt, dass sie den Zertifikaten nicht mehr trauen. Doch bei vielen Webseitenbetreibern ist das offenbar bislang nicht angekommen.

Ein Rückblick: Im Januar 2017 wurde bekannt, dass Symantec eine Reihe von Zertifikaten für Domains ausgestellt hatte, für die sie keinen Auftrag hatten. Doch das war nur einer von einer ganzen Reihe von Vorfällen, bei denen sich Sicherheitsprobleme in Symantecs Infrastruktur zeigten. Google kündigte daraufhin an, langfristig den Zertifikaten von Symantec im Chrome-Browser nicht mehr zu vertrauen.

Auch Mozilla, Microsoft und Apple haben erklärt, dass sie sich der Entscheidung von Google anschließen. Symantec hat sein Zertifikatsgeschaft inzwischen an die Firma Digicert verkauft. Digicert bietet ehemaligen Kunden an, die bald ungültigen Zertifikate kostenlos auszutauschen.

Mozilla verzögert Symantec-Rauswurf - aber nur für kurze Zeit

Mozilla hatte eigentlich geplant, Anfang Oktober in seiner Beta-Version den Symantec-Zertifikaten nicht mehr zu trauen. Doch wie Mozilla-Entwickler Wayne Thayer in einem Blogbeitrag erklärt, hat man sich entschlossen, dies zumindest noch ein bisschen zu verzögern. Laut Mozillas Zählungen sind demnach immer noch über ein Prozent der Webseiten mit einem Symantec-Zertifikat ausgestattet.

Dazu beitragen dürfte, dass Symantec-Zertifikate unter verschiedenen Markennamen verkauft wurden. GeoTrust, RapidSSL und Thawte sind alles Namen, unter denen Symantec-Zertifikate zu finden sind. Allerdings gilt im Umkehrschluss nicht, dass alle Zertifikate dieser Marken auch Symantec-Zertifikate sind, denn Digicert nutzt diese Markennamen weiterhin.

Verbraucherzentralen haben "technische Probleme" beim Zertifikatstausch

Zu den Webseiten, die noch ein Symantec-Zertifikat nutzen, gehören in Deutschland unter anderem die Seite von Werder Bremen und das unter www.verbraucherzentrale.de abrufbare Portal der Verbraucherzentralen. "Wir kennen das Thema Symantec-Zertifikate und sind dabei, sie bei uns gegen neue Versionen austauschen zu lassen", schrieb uns die verantwortliche Verbraucherzentrale NRW dazu auf Anfrage. "Wegen technischer Probleme dauert das leider." Von Werder Bremen haben wir keine Antwort erhalten.

Viel Zeit haben die betroffenen Seiten nicht mehr. Chrome will mit der kommenden Version 70, die am 16. Oktober erscheint, allen Symantec-Zertifikaten mißtrauen. Es ist anzunehmen, dass Mozilla dies noch abwarten will - da Chrome einen deutlich größeren Marktanteil hat, dürfte sich kaum eine Seite erlauben, dann noch die alten Zertifikate zu nutzen.

Schon jetzt führt die Verwendung eines Symantec-Zertifikats dazu, dass viele Nutzer ausgesperrt sind und die Webseiten weniger Besucher haben. Wer eine Nightly-Testversion von Firefox nutzt oder Chrome in der Unstable- oder Canary-Variante, der sieht jetzt schon nur eine Fehlermeldung beim Aufruf dieser Seiten.  (hab)


Verwandte Artikel:
Security: Symantec-Aktien nach interner Untersuchung unter Druck   
(11.05.2018, https://glm.io/134342 )
Mozilla: Update-Mechanismus von Firefox hat kaum kritische Lücken   
(11.10.2018, https://glm.io/137064 )
Malware: Hacker missbrauchen Zertifikate von D-Link   
(17.07.2018, https://glm.io/135504 )
Verschlüsselung: TLS 1.3 mit Startschwierigkeiten   
(13.10.2018, https://glm.io/137097 )
Onlineshops: Verbraucherzentrale bemängelt hohe Speditionskosten bei Ikea   
(22.09.2018, https://glm.io/136716 )

© 1997–2019 Golem.de, https://www.golem.de/