Google erklärt Symantec-Zertifikate für ungültig
Symantec hat ohne Befugnis Browser-Zertifikate für den verschlüsselten Datenverkehr ausgestellt. Google reagiert nun und entzieht allen Symantec-Zertifikaten das Vertrauen.
Der Sicherheitsexperte Andrew Ayer hat im Januar enthüllt, dass zu Symantec gehörende Firmen seit 2015 ohne Befugnis SSL/TLS-Zertifikate für den verschlüsselten Datenverkehr ausstellen. Das hat nun Folgen. Chrome-Entwickler Ryan Sleevi kündigte an, dass Google deswegen gegen Symantec vorgehe.
Technisch sei es nicht möglich, zu erkennen, welche Zertifikate Symantec regelwidrig ausgestellt habe. Das Unternehmen sei zudem Anfragen von Google- und Mozilla-Entwicklern ausgewichen. Google werde darum in den nächsten Monaten alle Symantec-Zertifikate für ungültig erklären, schreibt Sleevi. Das würde bedeuten, dass alle Kunden von Symantec ihre SSL/TLS-Zertifikate ersetzen müssen.
Betroffen sind auch Zertifikate, die Symantec neu ausstellt. Sie sollen nur noch 9 Monate gültig sein. Google will zudem, dass Symantec keine Extended-Validation-Zertifikate mehr vergeben darf. Sie ermöglichen es, im Browser eine Leiste mit dem Firmennamen anzuzeigen, unterscheiden sich aber ansonsten nicht von normalen Zertifikaten. Die Zertifizierungsstellen verlangen für die Extended-Validation-Zertifikate über 1000 US-Dollar.
Google übertreibe, sagt Symantec gegenüber golem.de. Es seien nicht 30000 Zertifikate betroffen, sondern 127. Ausgestellt habe diese Crosscert. Laut Golem sind für Symantec nur Zertifikate problematisch, die die koreanische Zertifizierungsstelle unberechtigterweise für fremde Domains vergab. Google hingegen sage, dass alle Zertifikate, die nicht hinreichend auditierte Partner ausstellten, nicht vertrauenswürdig seien. Symantec wies die Vorwürfe auch in einem Blogeintrag entschieden zurück.