bluebit

SSL-Zertifikate

Google Chrome vs. Symantec– Wichtige Webseiten verlieren Vertrauen

von Robert Klatt •

Google Chrome vs. Symantec– Wichtige Webseiten verlieren Vertrauen

Google geht weiter gegen unsichere SSL-Zertifikate vor. Schon bald verlieren etwa 100.000 Webseiten ihre Sicherheitseinstufung.


0 Kommentare

In den kommenden Wochen können sich Nutzer von Google Chrome auf jede Menge neuer Sicherheitswarnung beim Surfen im Internet einstellen. Mit dem kommenden Chrome Update 66, welches der Suchmaschinengigant am 17. April veröffentlichen will, werden Nutzer vor Webseiten gewarnt, wenn diese über ein Symantec-SSL-Zertifikat verfügen, das vor dem 1. Juni 2016 erstellt wurde. Chrome meldet bei als unsicher eingestuften Webseiten, dass die Verbindung nicht sicher ist und so unbefugte Dritte eventuell sensible Daten mitlesen können. Noch härter wird Google ab dem 23. Oktober gegen Symantec-SSL-Zertifikate vorgehen. Ab diesem Datum werden alle Webseiten ganz egal wann das Zertifikat ausgestellt wurde als nicht mehr sich eingestuft. Auch die Warnmeldung wird ab diesem Update noch deutlicher ausfallen.

Bekannte Seiten betroffen

Arkadiy Tetelman der als Sicherheitsexperte für das Vermittlungsportal Airbnb arbeitet, hat analysiert welche und wie viele Seiten von der radikalen Änderung im Chrome-Browser betroffen sein werden. Tetelman hat dafür ein Script geschrieben, dass die laut Alexa-Ranking eine Million Webseiten mit dem höchsten Traffic untersucht hat. Er kam zu dem Ergebnis, dass das im April erscheinende Update zu Fehlern bei 11.510 Domains führen wird. Das danach folgende Oktober Update wird wesentlich größere Folgen haben. Derzeitig sind 91.627 Domains davon betroffen.

Seine Ergebnisse hat Tetelman in Form einer Textdatei veröffentlicht. Admins können so überprüfen, ob die eigene Seite ein neues SSL-Zertifikat benötigt, um weiterhin von Chrome als vertrauenswürdig eingestuft zu werden. Zu den bekanntesten Seiten gehören unteranderem das Bundesfinanzministerium, Spiegel Online, die Uni Hildesheim, wetter.de, die Stadt Nottingham und der Elektroautohersteller Tesla.

Nicht nur Symantec direkt betroffen

Chrome geht in dem Update nicht nur gegen Zertifikate vor die direkt aus dem Hause Symantec stammen. Auch andere SSL-Zertifikate deren Vertrauenskette auf Symantec basiert, werden in den kommenden Updates als nicht vertrauenswürdig eingestuft. Dazu gehören beispielsweise die Anbieter GeoTrust, RapidSSL und Thawte. Admins die sich nicht sicher sind, ob ihr Zertifikat betroffen ist, sollten die Root-CA überprüfen.

Reaktion auf Verhalten von Symantec

Das bisher einzigartige Vorgehen des Browser-Herstellers Google gegen einen Zertfikatsaussteller ist damit begründet, dass Symantec durch ihr nachlässiges Handeln das Vertrauen in die Sicherheit ihrer Infrastruktur endgültig zerstört hat. Symantec soll laut einer Erklärung von Google in tausenden Fällen unberechtigterweise Zertifikate ausgestellt haben. Darunter befand sich sogar google.com selbst. Möglicherweise sorgte also dieser letzte Fehler dafür, dass Google sich für diesen deutlichen Schritt entschieden hat. Zuvor hatte Google Symantec bereits schrittweise ihr Vertrauen aberkannt.

0 Kommentare

Kommentar verfassen