Google hat angekündigt, von Symantec ausgestellten TLS-Zertifikaten mit seinem Browser Chrome nur noch einen befristeten Zeitraum zu vertrauen. Die Zeitdauer soll zudem schrittweise reduziert werden. Als Grund dafür führen die Chrome-Entwickler mehrere gravierender Fehler bei der Vergabe von Sicherheitszertifikaten durch Symantec an. Diese Zertifikate bestätigen Anwendern unter anderem die digitale Identität einer Website sowie die Nutzung einer per TLS / SSL verschlüsselten HTTP-Verbindung.
Vor kurzem musste Symantec zum wiederholten Male fehlerhafte Zertifikate sperren. Eine Untersuchung habe Google zufolge ergeben, dass Symantecs Vergabepraxis und mangelnde Aufsicht über nachgeordnete Zertifizierungsstellen eine erhebliche Gefahr für die Nutzer darstelle. Google-Entwickler Ryan Sleevi, kritisiert die jahrelangen Probleme mit Symantecs Vergabepraxis und wünschte sich offenbar noch drastischere Maßnahmen. Aufgrund der weiten Verbreitung der Symantec-Zertifikate sowie potenziellen Problemen mit Interoperabilität und Kompatibilität, soll nun nur die Zeitdauer befristet werden, der Chrome den Symantec-Zertifikaten vertraut.
Symantec bezeichnete Googles Vorhaben als “verantwortungslos”. Das Unternehmen stellt über 30 Prozent aller Zertifikate bereit. Das ist auch darauf zurückzuführen, dass es in der Vergangenheit die Zertifizierungsstellen Thawte, Verisign und Equifax übernommen hat.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Chrome 59 gesteht den Symantec-Zertifikaten nun noch eine Gültigkeit von 33 Monaten zu. Dieser Zeitraum soll sich mit jeder Version reduzieren. Bei Chrome 64, der für den 30. Januar 2018 geplanten Version des Browsers, soll sie dann nur noch neun Monaten betragen. Darüber hinaus will Google Symantec den sogenannten Extended-Validation-Status für mindestens ein Jahr entziehen und durchsetzen, dass alle derzeit gültigen Zertifikate neu ausgegeben werden müssen.
Google stufte bereits 2015 ein Root-Zertifikat von Symantec für Chrome und Android als nicht vertrauenswürdig ein. Es enthielt einen RSA-Schlüssel mit einer Länge von 1024 Bit. Der entsprach damals schon nicht mehr den Vorgaben des CA/Browser Forum. Symantec hatte außerdem unautorisiert Zertifikate für google.com sowie www.google.com ausgestellt. Diese Zertifikate seien nur für interne Testzwecke genutzt, erklärte Symantec damals. Wären sie jedoch Unbefugten in die Hände gefallen, hätten sie für Überwachung und Datendiebstahl missbraucht werden können. Google forderte damals eine gründliche Aufklärung des Falls und drohte damit, in Chrome vor Websites mit Symantec-Zertifikat zu warnen.
[mit Material von Bernd Kling, ZDNet.de]
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.
