Google und Symantec nähern sich einer Lösung

7 Juni 2017

Im letzten März kündigte Google an, Maßnahmen gegen Symantec zu ergreifen, die sich auf SSL-Zertifikate von Symantec in Google Chrome auswirken. Am 19. Mai wurde ein gemeinsamer Vorschlag veröffentlicht, der das Risiko für Benutzer von Symantec-Zertifikaten verringert und die Sicherheit von Google Chrome-Nutzern beibehält.

Seit Ende Mai fanden zahlreiche Gespräche über die Vorschläge statt. Die gesamte Diskussion kann im Google-Forum gelesen werden. Der frühere Vorschlag von Google enthielt viele Beschränkungen, z. B. dem nicht "vertrauen" vorhandener Zertifikate, die von Symantec-Marken ausgestellt wurden und dem gleichsetzen von Symantec EV-Zertifikate zu Domänen validierte Zertifikaten - ohne Firmennamen und grüne Adressleiste.

Was wurde im neuen Vorschlag überarbeitet?

Der neue Vorschlag enthält bestimmte überarbeitete Maßnahmen. Symantec muss mit einer anderen Zertifizierungsstelle zusammenarbeiten, um die Validierung und die Ausgabe von Prozessen im Auge zu behalten. In der Zwischenzeit wird Symantec Zeit haben, Richtlinien zu überarbeiten, ohne dass Symantec-Kunden und Benutzer Störungen bemerken.

Schwerpunkte:

  • Der Vorschlag gilt für alle Marken von Symantec, einschließlich GeoTrust und Thawte;
  • Ab dem 8. August 2017, werden alle neuen Symantec-Zertifikate von einer "verwalteten Zertifizierungsstelle" ausgestellt. Es ist noch nicht bekannt, welche Zertifizierungsstelle dies sein wird.
  • Ab 1. Februar 2018, wird zusätzlich zur Zertifikatausgabe, auch der gesamte Validierungsprozess von diesem Partner CA gehandhabt.
  • Um die ordnungsgemäße Browser-Unterstützung zu gewährleisten, werden Symantec-Zertifikate von Symantec Cross-signiert.

EV Zertifikat behalten ihre grüne Adressleiste

Durch die Verwendung einer verwalteten Zertifizierungsstelle werden Symantec-Zertifikate nicht eingeschränkt oder eingeschränkt in Bezug auf das Entfernen von EV-Features wie die grüne Adressleiste oder die Verringerung der Gültigkeitsdauer des Zertifikats. Abgesehen davon, halten Sie folgende Punkte im Auge:
  • Bestehende Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, müssen ersetzt werden. Ausgehend von Chrome Version 62 (geplant für August 2017) werden diese veralteten SSL Zertifikate nicht mehr vertraut.
  • Bestehende Zertifikate, die nach dem 1. Juni 2016 ausgestellt wurden, müssen nicht ersetzt werden, da sie noch gültig sind. Darüber hinaus ist ihre Dauer nicht begrenzt.

Was wird Symantec verbessern?

Symantec wird ihre internen PKI-Systeme und -Verfahren für die Erteilung von SSL-Zertifikaten erneuern und überarbeiten. Audits und Berichte werden öffentlich zugänglich gemacht. Neue Root-Zertifikate werden ebenfalls verwendet. Der Partner ("verwaltet") CA wird den Ausgabeprozess beibehalten, bis die neuen Symantec-Stammzertifikate vertraut werden.

Mit anderen Worten, nicht nur Symantecs Fortschritt wird bestimmen, wie lange es dauern wird, um die Dinge wieder auf den richtigen Weg zu bringen, sondern auch die Zeit bis Browser die neuen Stammzertifikate enthalten.

Was passiert als nächstes?

Kurzfristige Antworten werden von Symantec und Google erwartet. Wahrscheinlich werden beide Organisationen versuchen, einige Änderungen an diesem Vorschlag vorzunehmen, auch wenn noch nichts über den Partner CA bekannt ist mit dem Symantec zusammen arbeiten muss.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.