Google kündigt Massnahmen gegen Symantec an

Nach den jüngsten Vorfällen bei Symantec bezgl. der SSL Zertifikat Ausstellung, plant Google Massnahmen zu ergreifen, die die Auswirkungen haben auf die durch Symantec ausgestellten Zertifikaten. So wird Google Chrome EV-Zertifikate, die von Symantec ausgestellt wurden, nicht mehr als EV-Zertifikate zeigen und stark die Gültigkeitsdauer de Zertifikate beschränken.

Was ist bei Symantec passiert?

In den letzten Monaten wurde bekannt, dass mehrere Zertifikate fälschlicherweise von Symantec ausgegeben wurden. Untersuchungen haben gezeigt, dass die Überwachung von Partnern, die selbständig Zertifikate unter dem Symantec Root-Zertifikate ausgeben durften, in den letzten Jahren unzureichend war. Diese Partner haben Symantec Zertifikate in einer Art und Weise ausgegeben, die nicht den geltenden Anforderungen entsprechen. Symantec hat die Mängel nicht rechtzeitig erkannt und hat infolge Google, nicht angemessen auf diese Probleme reagiert und diese auch nicht auf eigene Initiative veröffentlicht.

Welche Massnahmen plant Google?

Google hat eine Reihe von Massnahmen angekündigt, die implementieren werden sollen. Derzeit hält Google sich noch bedeckt, aber es geht es wird erwartet das folgendes geschieht:

• Alle Symantec EV-Zertifikate (einschliesslich der Marken Thawte und GeoTrust) werden nicht mehr EV-Zertifikat in Chrome ausgewiesen, sondern als DV (Domain Validation) Zertifikat. Die Zertifikate verbleiben gültig und rufen keine Fehlermeldung hervor, aber die grüne Adressleiste mit dem Firmennamen wird nicht mehr angezeigt.
• Die Gültigkeit von neu ausgestellten Zertifikaten von Symantec, Thawte und GeoTrust werden auf einen Zeitraum von neun Monaten beschränkt. Zertifikate mit einer Gültigkeitsdauer länger als neun Monaten werden nicht mehr vertraut.
• Mit jedem Chrome Update wird die maximale Gültigkeitsdauer bereits ausgestellter Zertifikate weiter beschränkt. Google will letztendlich das alle zuvor ausgestellten Zertifikate nochmals validiert werden.

Was meint Symantec hierzu?

Symantec findet Googles Reaktion übertrieben und hat in einem Blog auf die von Google angekündigten Schritte geantwortet.

Was sind die Auswirkungen?

Zu Zeit verwenden etwa 30 Prozent aller Websites ein SSL Zertifikate von Symantec. Chrome ist eines der am häufigsten verwendeten Browsern, weswegen Googles Plan sehr grossen Auswirkungen hat. Es ist auch wahrscheinlich, dass andere Browser Google folgen könnten, falls sie diesen Plan realisieren, und ähnliche Aktionen unternehmen. Derzeit ist noch nicht bekannt, was diese Aktionen sind.

Ich habe ein Zertifikat von Symantec, was tun?

Websites mit Symantec Zertifikate werden nach wie vor vertraut und liefern noch keine Fehlermeldung. Die von Google vorgeschlagene Lösung sind noch nicht endgültig, kann es sein, daher kann es sein das sich die Pläne noch ändern. Google hat eine Lösung bekannt gegeben, wo nur die grüne Adresseleiste nicht mehr angezeigt wird, und wird erst danach in verschiedenen Phasen den Zertifikaten nicht mehr vertrauen. Auf diese Weise gibt es genug Zeit für Website-Administratoren, um die Zertifikate zu ersetzen. Im übrigen sind dies vorübergehende Massnahmen, die wieder rückgängig gemacht werden können, sobald Symantec wieder vertrauenswürdig ist.

Auf Wunsch ersetzt Xolphin seine EV-Zertifikate von Symantec, GeoTrust und Thawte durch Comodo EV-Zertifikaten mit der gleichen Laufzeit ohne zusätzliche Kosten.

Sobald mehr Informationen verfügbar sind, wird dieser Artikel aktualisiert. Wenn es Klarheit über die genauen Schritte in Googles Plan gibt und wir die Konsequenzen kennen, werden wir unsere Kunden aktiv darüber informieren.

Update 10/04: Am vergangenen Mittwoch gab Ryan Sleevi bekannt, dass der Google und der Symantec Vorstand ein Treffen hatten, obwohl dies nicht die Richtlinie von Google ist. Es wurde noch nicht alles besprochen, daher ist geplant, ein Follow-up-Meeting zu planen. Ein Datum oder Details für das Meeting sind noch nicht veröffentlicht.

Update 27/04: DAm 26. April schlug Symantec einen umfassenden Aktionsplan vor. Der Vorschlag enthält 11 Punkte als Alternative zu den von Google am 23. März vorgeschlagenen Maßnahmen.

Der Schwerpunkt liegt auf der erneute Authentifizierung ausgestellter Zertifikate, periodischer zusätzlicher Kontrolle, mehr Transparenz und Risikoreduzierung. Ein wichtiger Faktor sind Symantecs Firmenkunden wie Regierungen und Finanzunternehmen. Symantec ist der Ansicht, dass die Interessen dieser Kunden aus Sicht von Google und der Gesellschaft nicht ausreichend sind und dass diese Parteien aufgrund der Pläne von Google ernsthaften Schaden erleiden können.

Welche Maßnahmen schlägt Symantec vor?

Von den 11 vorgeschlagenen Maßnahmen sind dies die wichtigsten:

• Alle von Symantec ausgestellten EV-Zertifikate werden von einer externen Partei verifiziert. Dies muss bis zum 31. August 2017 abgeschlossen sein. Dies sollte verhindern, dass der EV-Indikator in Google Chrome entfernt wird.
• Alle aktiven SSL-Zertifikate, die von (ehemaligen) RAs von Symantec verifiziert und ausgestellt wurden, müssen von einer externen Partei überprüft werden. Dies muss auch bis zum 31. August 2017 erfolgen.
• Statt einer jährlichen WebTrust-Revision wird es standardmäßig vierteljährlich durchgeführt.
• Bis zum 31. August 2017 werden 3 Monate gültige Zertifikate eingeführt. Symantec erkennt die Vorteile von Kurzzeitzertifikaten und möchte seinen Kunden eine Auswahlmöglichkeit bieten.
• Alle aktiven Zertifikate mit einer Gültigkeit von mehr als 9 Monaten werden erneut mit einer Überprüfung der Domain-Verifizierung genehmigt.
• Die komplette CA-Infrastruktur wird bis zum 31. Oktober 2017 erneut durch eine "Drittanbieter-Risikobewertung" überprüft.
• Symantec verspricht mehr Transparenz und verbessert die Geschwindigkeit, mit der sie laufende Probleme kommentieren.