Chrome stuft Symantec Zertifikate herab

, ,
Was ist eigentlich ein Browser?

Chrome (Google) stuft Symantec Zertifikate herab

Google tadelt Symantecs Vertrauenswürdigkeit |  Symantec Zertifikate im Chrome Browser herabgestuft

Der Streit zwischen Symantec als Zertifizierungsstelle und Google geht in eine neue Runde. Im Konkreten heißt das, dass zum Beispiel bei Thawte und Geotrust Zertifikate fortan nur noch mit der Bezeichnung sicher und nicht mehr mit dem Namen des Zertifikatsinhabers gezeigt werden.

Für Firmeninhaber ist die Herabstufung des gekauften SSL Zertifikats besonders ärgerlich, wenn sie bereits einige hundert Euro in die Zertifizierung investiert und so für die vertrauenswürdige Darstellung gesorgt haben. Symantecs Statement zur Herabstufung und später geplanten Annullierung der Zertifikate ist: verantwortungslos.

Wie handelt man als Zertifikatsinhaber?

Die erste Etappe der Herabstufung bezieht sich auf Google Chrome. Google erwähnt drastische Schritte, sodass es nicht bei der alleinigen Herabstufung bleiben wird. Vielmehr sollen aktuell als vertrauenswürdig gekennzeichnete Seiten mit SSL-Zertifikat zukünftig als nicht vertrauenswürdig eingestuft und im System annulliert werden. Rund 30.000 der ausgestellte Zertifikate entsprechen nicht den Richtlinien, so Google. Den Zertifikaten wird der EV Status entzogen, wodurch in der Adressleiste keine ausführlichen Informationen zum Inhaber der Domain ersichtlich sind. Websitebesucher nutzen die Informationen zur Kenntnisnahme, dass es sich um eine legitime Website und nicht um die Umleitung auf eine unsichere Domain handelt.

Die Herabstufung mit minderer Vertrauenswürdigkeit soll ein Jahr lang andauern, ehe weitere Schritte folgen und bis zur Annullierung der Seiten führen sollen. Der im Jahr 2015 aufkeimende Streit zwischen Symantecs Management und Google ist schwelend und wird auch in den kommenden Jahren kaum zur Ruhe kommen. Weltweit basieren über 40% aller Zertifikate auf Ausstellungen Symantecs, was enorme Auswirkungen für Zertifikatsinhaber und Internetnutzer haben wird. Doch kann aktuell keine Empfehlung zur Handlung gegeben werden, wenn alternative Zertifikate ausgeschlossen sind und Unternehmer kein zusätzliches Budget in die Hand nehmen möchten.

Vertrauensabbau soll zum Umdenken anhalten

Auf lange Sicht sollten Symantecs Zertifikate als unsicher eingestuft und nicht nur vom Browser, sondern auch vom User als nicht vertrauenswürdig betrachtet werden. Wenn Google den Zertifikaten misstraut, könnte dies für die vollständige Unerreichbarkeit der Websites sprechen. Würde die Vertrauenswürdigkeit über Nacht verändert, wäre ein Super-GAU mit enormen wirtschaftlichen Folgen unaufhaltsam.

Daher hat Google angekündigt, dass die Vertrauensspanne in ein Zertifikat des Streitpartners immer kürzer werden soll. Es ist die Rede davon, das sich der Zeitraum bei allen neuen Chromes-Versionen verringern soll. Anfänglich spricht man von 33 Monaten, in der Nachfolger-Version des Browsers sollen es nur noch neun Monate sein.

Mehr zum Thema:
Welche Möglichkeiten bietet die Programmiersprache Perl?

Für Zertifikatsinhaber und Websitebetreiber bleibt laut Google ausreichend Zeit, ihr Zertifikate gegen revalidierte Versionen zu tauschen und so für eine vertrauenswürdige Präsenz im Web zu sorgen.

Wenn zwei Internet-Riesen sich streiten

Wenn es zwischen zwei Internet-Giganten zu einem Streit kommt, zieht dieser schwere Folgen nach sich. So im Falle Google und Symantecs falschen Zertifikaten, die in 2015 erstmalig auffielen. Google forderte die CA auf, ihr Certificate-Transparency-Modell zu unterstützen. Eine Reaktion der Zertifizierungsstelle blieb aus. So kam es zur Androhung der Herabstufung, die nun offenbar im Jahr 2017 durchgesetzt wird. Anfang des Jahres gab es erneute Probleme mit Zertifikaten der CA, wodurch sich Google zur Handlung gezwungen und in der Aufgabe sieht, die Vertrauenswürdigkeit der Zertifizierungsstelle so zu präsentieren, wie sie sich durch falsche Zertifikate gezeigt hat.

Für Kunden, die über die Biteno GmbH ihr Zertifikat erworben haben, besteht keine Gefahr: Wir beraten Sie gerne wie Sie weiterhin sicher das https-Protokoll für Ihre Website bzw. ihre Domain nutzen können.