Chrome zieht durch: Symantec-Zertifikate in direkter Gefahr
Quelle: Google

Chrome zieht durch: Symantec-Zertifikate in direkter Gefahr

Google Chrome macht Ernst mit dem angekündigten Vertrauensentzug von abgelaufenen SSL-Zertifikaten. Besitzer älterer Zertifikate von Symantec, Thawte und Geotrust sollten diese schnellstmöglich austauschen. Google sanktioniert mit der Aktion Symantec, da der Dienst tausende Domains mit unberechtigten Zertifikaten versehen hatte.
8. März 2018

     

Der Streit zwischen Google und Symantec naht seinem Höhepunkt. Da der Zertifikatsaussteller Symantec tausendfach unberechtigte Zertifikate ausgestellt haben soll, hatte Google schon lange damit gedroht, dass Chrome zehntausenden zertifizierten Webseiten das Vertrauen entziehen würde ("Swiss IT Magazine" berichtete). Als Sanktion will Chrome jetzt also bei dem Besuch von Seiten mit Zertifikaten von vor dem 1. Juni 2016 vor einer unsicheren Verbindung warnen. Ab dem 15. März soll die entsprechende Funktion in Chrome implementiert sein und in der Adressleiste den Hinweis "nicht sicher" zeigen.

Daher empfehlen IT-Sicherheitsexperten von PWS jetzt, dass Besitzer von SSL-Zertifikaten von Symantec, Thawte und Geotrust von vor dem 1. Juni 2016 diese bis spätestens zum 15. März durch die neue Sub PKI von Digicert austauschen mögen. Mit Erscheinen von Chrome 70 im Oktober 2018 plant Google dann im nächsten Schritt, alle Seiten mit Symantec-Zertifikaten als nicht vertrauenswürdig einzustufen.


SSL/TLS-Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden und nach dem 13. September ihre Gültigkeit verlieren, sollten bis spätestens zum 13. September ausgetauscht werden, denn ab dann werden auch diese SSL/TLS-Zertifikate – sollten sie über Symantecs alte PKI-Infrastruktur ausgestellt worden sein – in Google Chrome als nicht vertrauenswürdig eingestuft. (rpg)


Weitere Artikel zum Thema

Google Chrome blockt bald 100'000 SSL-Zertifikate

8. Februar 2018 - Google entzieht zehn Prozent der wichtigsten Domains das Vertrauen, sofern sie ihre abgelaufenen SSL-Zertifikate nicht erneuern. Das Unternehmen will damit den Zertifikatsaussteller Symantec abstrafen, der tausendfach unberechtigterweise Zertifikate ausgestellt haben soll.

Zero-Day-Leck in Symantec Encryption Desktop

1. Dezember 2017 - Ein Sicherheitsleck in der Verschlüsselungssoftware Symantec Encryption Desktop ermöglicht es Angreifern, Schadcode einzuschleusen. Symantec weiss seit Sommer um das Leck, hat es aber bis anhin nicht geschafft, einen wirkungsvollen Patch zu veröffentlichen.

Google entfernt Symantec-Zertifikate aus Chrome

13. September 2017 - Googles Chrome Browser wird ab April von Symantec ausgestellte Zertifikate nicht mehr akzeptieren. Dazu gehören unter anderem Thawte, Verisign, Equifax, Geotrust und RapidSSL.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER