Im Bereich der IT-Sicherheit verändert sich gerade sehr viel. Durch einige Sicherheitslücken wurde beschlossen, dass sich die maximale Laufzeit von SSL Zertifikaten auf quasi 2 Jahre reduziert – bisher gab es viele Anbieter, die bis zu 5 Jahre Laufzeit angeboten haben:
Änderung der CA / B Forum Baseline Requirements: Ende der 3-Jahres-SSL-Zertifikate
Am 13.9.2017 kam nun von Google die überraschende Ankündigung Symantec und deren bekannte Töchter wie VeriSign und Thawte ab April 2018 das Vertrauen, im inzwischen am weitesten Browser, Google Chrome zu entziehen.
In der Praxis bedeutet dies, viele Firmen müssen sich einen neuen Zertifikatsanbieter suchen und die Zertifikate erneuern.
Außerdem zeichnet sich auch ab, dass interne CAs, die aus verschiedenen Gründen noch im Einsatz sind, auch immer mehr an Relevanz verlieren, u.a. weil quasi alle Produkte die auf SSL Zertifikate aufsetzen, die selbstgenerierten Zertifikate als unsicher ansehen (Gefährdung z.B. durch Man-in-the Middle Attacken)
[Heise Security] Zertifizierung: Google entzieht Symantec 2018 das Vertrauen
Ab April wird der Google-Browser Chrome für Zertifikate Fehler melden, die Symatecs CAs ausgestellt haben. Dazu gehören unter anderem Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Wer die noch im Einsatz hat, muss bald handeln.
Ab April 2018 soll Google Chrome keine Zertifikate mehr akzeptieren, die eine der vielen Symantec-Zertifizierungsstellen vor dem 1.6.2016 ausgestellt hat. Und ab Oktober soll Chrome 70 dann allen Symantec-Zertifikaten misstrauen. Wer also noch ein Zertifikat von Symantec oder deren Töchter Thawte, VeriSign, Equifax, GeoTrust oder RapidSSL im Einsatz hat, muss bis dahin handeln.
Diese Maßnahmen sind laut Google die Folge des nachhaltig zerstörten Vertrauens in die Zuverlässigkeit von Symantecs Infrastruktur. Der Suchmaschinenriese hatte Symantec mehrfach dabei erwischt, unberechtigterweise Zertifikate auf google.com ausgestellt zu haben.
Geplanter Rauswurf
In der Folge hat Google den von Symantec unterschriebenen Zertifikaten schrittweise das Vertrauen entzogen. So stuft Chrome die teuren Extended-Validation-Zertifikate bereits seit Anfang des Jahres herab und zeigt Besuchern einen niedrigeren Sicherheitsstatus an. Google machte auch kein Hehl daraus, dass Symantecs Zertifikate schon mittelfristig ganz aus Chrome verschwinden sollen.
Der jetzt veröffentlichte Beitrag in Googles Security-Blog zu Chromes Plan Symantecs Zertifikaten das Vertrauen zu entziehen legt den Zeitplan für diese absehbare Ausmusterung fest. Symantec hat bereits reagiert und will komplett aus dem Geschäft mit den Zertifikaten aussteigen. Für 950 Millionen US-Dollar verkaufte der ehemalige Marktführer diesen Teil seines Geschäfts an den Konkurrenten DigiCert. (ju)