Google kündigt Massnahmen gegen Symantec an

24 März 2017

Nach den jüngsten Vorfällen bei Symantec bezgl. der SSL Zertifikat Ausstellung, plant Google Massnahmen zu ergreifen, die die Auswirkungen haben auf die durch Symantec ausgestellten Zertifikaten. So wird Google Chrome EV-Zertifikate, die von Symantec ausgestellt wurden, nicht mehr als EV-Zertifikate zeigen und stark die Gültigkeitsdauer de Zertifikate beschränken.

Was ist bei Symantec passiert?

In den letzten Monaten wurde bekannt, dass mehrere Zertifikate fälschlicherweise von Symantec ausgegeben wurden. Untersuchungen haben gezeigt, dass die Überwachung von Partnern, die selbständig Zertifikate unter dem Symantec Root-Zertifikate ausgeben durften, in den letzten Jahren unzureichend war. Diese Partner haben Symantec Zertifikate in einer Art und Weise ausgegeben, die nicht den geltenden Anforderungen entsprechen. Symantec hat die Mängel nicht rechtzeitig erkannt und hat infolge Google, nicht angemessen auf diese Probleme reagiert und diese auch nicht auf eigene Initiative veröffentlicht. Welche Massnahmen plant Google?

Google hat eine Reihe von Massnahmen angekündigt, die implementieren werden sollen. Derzeit hält Google sich noch bedeckt, aber es geht es wird erwartet das folgendes geschieht:

  • Alle Symantec EV-Zertifikate (einschliesslich der Marken Thawte und GeoTrust) werden nicht mehr EV-Zertifikat in Chrome ausgewiesen, sondern als DV (Domain Validation) Zertifikat. Die Zertifikate verbleiben gültig und rufen keine Fehlermeldung hervor, aber die grüne Adressleiste mit dem Firmennamen wird nicht mehr angezeigt.
  • Die Gültigkeit von neu ausgestellten Zertifikaten von Symantec, Thawte und GeoTrust werden auf einen Zeitraum von neun Monaten beschränkt. Zertifikate mit einer Gültigkeitsdauer länger als neun Monaten werden nicht mehr vertraut.
  • Mit jedem Chrome Update wird die maximale Gültigkeitsdauer bereits ausgestellter Zertifikate weiter beschränkt. Google will letztendlich das alle zuvor ausgestellten Zertifikate nochmals validiert werden.

Was meint Symantec hierzu?

Symantec findet Googles Reaktion übertrieben und hat in einem Blog auf die von Google angekündigten Schritte geantwortet. Was sind die Auswirkungen?

Zu Zeit verwenden etwa 30 Prozent aller Websites ein SSL Zertifikate von Symantec. Chrome ist eines der am häufigsten verwendeten Browsern, weswegen Googles Plan sehr grossen Auswirkungen hat. Es ist auch wahrscheinlich, dass andere Browser Google folgen könnten, falls sie diesen Plan realisieren, und ähnliche Aktionen unternehmen. Derzeit ist noch nicht bekannt, was diese Aktionen sind.

Ich habe ein Zertifikat von Symantec, was tun?

Websites mit Symantec Zertifikate werden nach wie vor vertraut und liefern noch keine Fehlermeldung. Die von Google vorgeschlagene Lösung sind noch nicht endgültig, kann es sein, daher kann es sein das sich die Pläne noch ändern. Google hat eine Lösung bekannt gegeben, wo nur die grüne Adresseleiste nicht mehr angezeigt wird, und wird erst danach in verschiedenen Phasen den Zertifikaten nicht mehr vertrauen. Auf diese Weise gibt es genug Zeit für Website-Administratoren, um die Zertifikate zu ersetzen. Im übrigen sind dies vorübergehende Massnahmen, die wieder rückgängig gemacht werden können, sobald Symantec wieder vertrauenswürdig ist.

Xolphin wird auf Anfrage seine EV-Zertifikate von Symantec, GeoTrust und Thawte kostennlos zu einem EV-Zertifikat von Comodo mit gleicher Laufzeit austauschen.

Sobald mehr Informationen zur Verfügung stehen, wird dieser Artikel aktualisiert. Wenn es Klarheit über die genauen Schritte von Google gibt und wir die Folgen kennen, werden wir unsere Kunden aktiv hierüber informieren.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.