Google verbannt Zertifikate von Symantecs CAs aus Chrome

Ab April 2018 wird der Google-Browser Chrome Fehler melden, wenn damit SSL-Seiten aufgerufen werden, deren Zertifikate von den Certificate Authorities (CAs) der Firma Symantec vor dem 1.6.2016 ausgestellt wurden.

Ab Oktober 2018 soll Chrome 70 dann sogar allen Symantec-Zertifikaten misstrauen. Wer also noch Zertifikate von Symantec oder deren Töchtern Thawte, VeriSign, Equifax, GeoTrust oder RapidSSL nutzt, muss bis dahin etwas tun.

Diese harten Maßnahmen sind nach Angaben von Google die Folge des nachhaltig zerstörten Vertrauens in die Zuverlässigkeit der Symantec-Infrastruktur. Der Suchmaschinenriese hatte Symantec immer wieder dabei erwischt, unberechtigterweise Zertifikate auf google.com ausgestellt zu haben.

Thawte, VeriSign, Equifax, GeoTrust und RapidSSL sind betroffen

Google hat als Folge davon den von Symantec unterschriebenen Zertifikaten schrittweise das Vertrauen entzogen. So stuft Chrome beispielsweise die teuren Extended-Validation-Zertifikate schon seit Anfang des Jahres herab und zeigt den Besuchern damit geschützter Seiten einen niedrigeren Sicherheitsstatus an.

Google sagt auch klar und deutlich, dass Symantecs Zertifikate schon mittelfristig komplett aus Chrome verschwinden sollen.

Der gerade veröffentlichte Beitrag in Googles Security-Blog zu Chromes Plan, Symantecs Zertifikaten das Vertrauen zu entziehen beschreibt den Zeitplan für diese absehbare Ausmusterung. Symantec hat auch schon reagiert und will aus dem Geschäft mit den Zertifikaten vollständig aussteigen. Der ehemalige Marktführer verkaufte diesen Teil seines Geschäfts schon für 950 Millionen US-Dollar an den Konkurrenten DigiCert.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Programmierung, Recht, Sicherheit, Tipps und Tricks, Wirtschaft abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

1 Antwort zu Google verbannt Zertifikate von Symantecs CAs aus Chrome

  1. Aus Zeit Gründen habe ich meinen Kommentar aus dem HeiseForum kopiert:

    Liebes Heise-Team,
    Liebe Heise-Leser,

    Das Wichtigste zuerst: Symantec wird nicht das Vertrauen entzogen!

    Nun aber im Detail:
    Bereits im März gab es zwischen Google und Symantec einen Konflikt aufgrund falsch ausgestellter Test-Zertifikate durch einen RA-Partner.
    Als erste Folge hier von wurde das RA-Programm eingestellt.

    Dies wurde im Chromium Forum entsprechend diskutiert.
    Hier einmal der Link:
    https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs%5B1-25%5D

    Im selbigen findet sich bereits am 28.07.2017 ein Beitrag von Darin Fisher welcher den, Zeitstrahl, der auch im Artikel verlinkten ist, abbildet. (Seite 11)

    Die verlinkte Stellungnahme von Google ist allerdings tatsächlich erst vom 11.09.2017.
    In dieser wird aber auch klargestellt, dass es nicht darum geht Symantec das Vertrauen zu entziehen. Vielmehr heißt es hier:
    „(…a plan to reduce, and ultimately remove, trust in Symantec’s infrastructure)“
    Es geht mithin nicht um die Zertifikate, sondern um die alte Infrastruktur. Die neue Infrastruktur von Symantec geht am 01.12. 2017 online.

    Einen Zeitstrahl und die entsprechenden Informationen haben wir auch bereits in unserem Blogbeitrag unter
    https://blog.certcenter.de/2017/07/symantec-reissue/
    veröffentlicht.

    Der Plan sieht nun Folgendes vor:

    1. Zertifikate welche vor dem 01.06.2016 ausgestellt wurden müssen bis zur Chrome 66 (Beta 15 März 2018, Release 17.03.2018) neu ausgestellt werden .

    2. Des Weiteren müssen Zertifikate, die vor dem 01.12.2017 ausgestellt wurden (und sein werden) zwischen dem 01.12.2017 und 23.10.2018, also vor Chrome 70 neu ausgestellt werden, so dass sie ebenfalls über die neue Infrastruktur ausgestellt wurden.

    Welche Konsequenzen ergeben sich nun für die Kunden bzw. Anwender?
    Timeline unter
    https://blog.certcenter.de/wp-content/uploads/2017/07/transitioning-to-symantec-s-new-pki.pdf

    Für Kunden ergeben sich nun die folgenden vier Anwendungsfälle:

    1. Zertifikatslaufzeit 17.04. 2018 aber 23.10.2018; ausgestellt vor dem 01.06.2016
    Zertifikate, die vor dem 01.06.2016 ausgestellt wurden und nach dem 23.10.2018 (bzw. vor Chrome 70) noch gültig sind, müssen ebenfalls vor dem 17.04.2018 neuausgestellt werden. Da diese aber zusätzlich auf der neuen Infrastruktur erzeugt werden müssen, empfehlen wir diese zwischen dem 01.12.2017 und dem 17.04.2018 neuauszustellen, um den Aufwand gering zu halten.

    4. Zertifikatslaufzeit >23.10.2018; ausgestellt nach dem 01.06.2016
    Zertifikate, die nach dem 01.06.2016 ausgestellt wurden und nach dem 23.10.2018 (bzw. vor Chrome 70) noch gültig sind, müssen ebenfalls zwischen dem 01.12.2017 und dem 23.10.2018 (bzw. vor Chrome 70) neuausgestellt werden, damit sie über die neue Infrastruktur erzeugt wurden.

    Bei allen Punkten ist zu beachten, dass das Ausstellungsdatum der wesentliche Faktor ist. Da Zertifikate über unsere Oberfläche 90-Tage vor dem Auslaufen, unter Anrechnung der Restlaufzeit, verlängert werden können, können hierdurch Überschneidungen vermieden werden. So kann zum Beispiel ein Zertifikat, welches am 30.11.2017 bestellt und am gleichen Tag ausgestellt werden würde, bei einer Laufzeit von einem Jahr am 29.11.2018 auslaufen und somit in Kategorie Nr. 4 fallen. 90-Tage vorher , also spätestens am 02.09.2018 kann das Zertifikat über unsere Oberfläche bequem verlängert werden, so dass keine zusätzliche Einbindung erforderlich wird.

    Des Weiteren ist Übernahme von Symantec durch DigiCert kein Geheimnis.
    Dies wurde bereits Anfang August kommuniziert.
    http://investor.symantec.com/About/Investors/press-releases/press-release-details/2017/DigiCert-to-Acquire-Symantecs-Website-Security-and-Related-PKI-Solutions/default.aspx

    Ich hoffe, dass ich hierdurch den Ablauf genauer aufzeigen konnte.

    Mit den besten Grüßen

    Sascha Henrikson

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.