/ Security

Sind Symantec Zertifikate noch vertrauenswürdig?

Ende Juli entschieden sich das Chrome Team zusammen mit der PKI Community dazu, der Infrastruktur von Symantec bis 2018 schrittweise das Vertrauen zu entziehen, um dem Nutzer weiterhin die gewohnte Sicherheit und Privatsphäre beim Surfen gewährleisten zu können.

Ursachen der Entscheidung

Am 19. Januar 2017 wurde die Aufmerksamkeit durch einen Post auf mozilla.dev.security.policy auf fragwürdige Sicherheitszertifikate gerichtet, welche durch Symantecs PKI ausgestellt wurden. Durch eine anschließende Analyse wurde erkannt, dass Symantec Zertifikate an Organisationen ausstellte, welche sich Sicherheitslücken bewusst waren.
Dieser Vorfall, sowie ein weiteres Ereignis, welches sich bereits 2015 ereignete, trieb das Chrometeam letztendlich dazu, die Vertrauenswürdigkeit von Sicherheitszertifikaten Symantecs anzuzweifeln. Nach dieser Bekanntgabe reagierte Symantec mit der Entscheidung, ihr PKI-Geschäft an DigiCert zu verkaufen und diese unabhängig betreiben zu lassen, anstatt eine neue vertrauenswürdige Infrastruktur aufzubauen.

Auswirkungen für Seitenbetreiber

Das Chrome Team entschied sich daraufhin, die folgenden Maßnahmen zu ergreifen. Mit dem Update von Chrome 66, welches voraussichtlich am 15. März 2018 für Betanutzer und am 17. April 2018 für die Allgemeinheit erscheinen soll, allen Symantec Zertifikaten die Vertrauenswürdigkeit zu entziehen, welche vor dem 1. Juni 2016 vergeben wurden. Seitenbetreiber, die ein solches Zertifikat nutzen, sollten bis dahin auf ein anderes Zertifikat umsteigen. Ebenfalls wird den Zertifikaten, welche ab dem 1. Dezember 2017 von der alten Symantec Infrastruktur ausgestellt werden, das Vertrauen entzogen, da ab diesem Zeitpunkt auf die DigiCert-Infrastruktur umgestellt wird. Letztendlich entzieht Chrome mit dem Update auf Chrome 70 zu Ende Oktober 2018 allen Symanteczertifikaten die Vetrauenswürdigkeit.
Seitenbetreiber, welche bis zu diesem Zeitpunkt noch von Symantec ausgestellte Zertifikate nutzen, müssen bis dahin auf Ersatzzertifikate umsteigen, die von jeder Zertifizierungsstelle erhalten werden können, die derzeit von Chrome als vertrauenswürdig eingestuft wird.