Google ergreift drastische Schritte gegen Symantec - Hack The Mac

Google ergreift drastische Schritte gegen Symantec

[ad_1]

Sicherheitszertifikate sind eine ernste Sache, vor allem bei deren Vergabe sollten keine Fehler gemacht werden. Doch genau das wirft Google der Firma Symantec vor und will die Gültigkeit der Zertifikate in Chrome herabsetzen. Das könnte Symantec ernsthaft schaden.

Google will Symantec zeigen, dass mehr Sorgfalt bei der Vergabe von Sicherheitszertifikaten erforderlich ist und stuft deren Gültigkeit schrittweise herunter. Bei Chrome 59 gelten die TLS-Zertifikate noch 33 Monate, Chrome 64 nur noch ein Dreivierteljahr. Chrome 64 soll im Januar 2018 erscheinen. Außerdem will Google Symantec ein Jahr den Extended-Validation-Status nehmen und durchsetzen, dass alle derzeit gültigen Zertifikate neu ausgegeben werden müssen.

Symantec soll nachgeordnete Zertifizierungsstellen ungenügend beaufsichtigt und selbst eine unsichere Vergabepraxis haben. Symantec ist über die Schritte von Google natürlich alles andere als erfreut. Symantec soll mit seinen Tochterfirmen weltweit mehr als 30 Prozent aller Zertifikate bereitstellen.

Anfang 2917 entdeckte Andrew Ayer von SSLMate, dass sich in den Certificate-Transparency-Logdaten Testzertifikate befanden, die für einige Domains ausgestellt wurden, doch deren Inhaber hatten sie gar nicht beantragt. Ausgestellt wurden sie von Crosscert. Das Unternehmen hatte wie drei andere die Möglichkeit, die Infrastruktur von Symantec zu nutzen und Zertifikate auszustellen. Sie sind technisch identisch mit denen, die Symantec selbst ausstellte. Ein selektives Vorgehen ist damit nicht möglich.

Schon im Jahr 2015 gab es Probleme mit einem Root-Zertifikat von Symantec. Damals wurde es für Chrome und Android-Geräte als nicht vertrauenswürdig eingestuft, weil ein RSA-Schlüssel zu kurz und damit unsicher war.

Kommentar verfassen