Google hat angekündigt, von Symantec ausgestellten TLS-Zertifikaten mit seinem Browser Chrome nur noch einen befristeten Zeitraum zu vertrauen. Die Zeitdauer soll zudem schrittweise reduziert werden. Als Grund dafür führen die Chrome-Entwickler mehrere gravierender Fehler bei der Vergabe von Sicherheitszertifikaten durch Symantec an. Diese Zertifikate bestätigen Anwendern unter anderem die digitale Identität einer Website sowie die Nutzung einer per TLS / SSL verschlüsselten HTTP-Verbindung.
Vor kurzem musste Symantec zum wiederholten Male fehlerhafte Zertifikate sperren. Eine Untersuchung habe Google zufolge ergeben, dass Symantecs Vergabepraxis und mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen eine erhebliche Gefahr für die Nutzer darstelle. Google-Entwickler Ryan Sleevi, kritisiert die jahrelangen Probleme mit Symantecs Vergabepraxis und wünschte sich offenbar noch drastischere Maßnahmen. Aufgrund der weiten Verbreitung der Symantec-Zertifikate sowie potenziellen Problemen mit Interoperabilität und Kompatibilität, soll nun nur die Zeitdauer befristet werden, der Chrome den Symantec-Zertifikaten vertraut.
Symantec bezeichnete Googles Vorhaben als “verantwortungslos”. Das Unternehmen stellt über 30 Prozent aller Zertifikate bereit. Das ist auch darauf zurückzuführen, dass es in der Vergangenheit die Zertifizierungsstellen Thawte, Verisign und Equifax übernommen hat.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Chrome 59 gesteht den Symantec-Zertifikaten nun noch eine Gültigkeit von 33 Monaten zu. Dieser Zeitraum soll sich mit jeder Version reduzieren. Bei Chrome 64, der für den 30. Januar 2018 geplanten Version des Browsers, soll sie dann nur noch neun Monaten betragen. Darüber hinaus will Google Symantec den sogenannten Extended-Validation-Status für mindestens ein Jahr entziehen und durchsetzen, dass alle derzeit gültigen Zertifikate neu ausgegeben werden müssen.
Google stufte bereits 2015 ein Root-Zertifikat von Symantec für Chrome und Android als nicht vertrauenswürdig ein. Es enthielt einen RSA-Schlüssel mit einer Länge von 1024 Bit. Der entsprach damals schon nicht mehr den Vorgaben des CA/Browser Forum. Symantec hatte außerdem unautorisiert Zertifikate für google.com sowie www.google.com ausgestellt. Diese Zertifikate seien nur für interne Testzwecke genutzt, erklärte Symantec damals. Wären sie jedoch Unbefugten in die Hände gefallen, hätten sie für Überwachung und Datendiebstahl missbraucht werden können. Google forderte damals eine gründliche Aufklärung des Falls und drohte damit, in Chrome vor Websites mit Symantec-Zertifikat zu warnen.
[mit Material von Bernd Kling, ZDNet.de]
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
Medizingeräte Hersteller Tuttnauer schützt Gerätesoftware mit IoT-Sicherheitslösung.
Unternehmen aus der DACH-Region sehen nur vereinzelt Anwendungsmöglichkeiten für die Blockchain-Technologie.
SAS bietet einsatzfertige KI-Modelle für konkrete Herausforderungen wie Betrugserkennung und Lieferkettenoptimierung.
Cisco stellt neuen Ansatz zur umfassenden Absicherung der IT-Infrastruktur vor.
Deloitte-Studie äußert jedoch Verständnis für die Zurückhaltung der Kunden. Nutzen der Angebote sei hierzulande kaum…
