Google und Symantec: Kein akuter Handlungsbedarf für Zertifikats-Inhaber

Der Webbrowser Chrome soll vorerst keine Zertifikate von Symantecs CAs herunterstufen. Bis auf Weiteres bleiben alle Zertifikate gültig und Inhaber müssen nichts weiter tun.

In Pocket speichern vorlesen Druckansicht 31 Kommentare lesen
Google und Symantec: Kein akuter Handlungsbedarf für Zertifikats-Inhaber

(Bild: Screenshot)

Lesezeit: 2 Min.

Bis die aktuell stattfindenden Verhandlungen zwischen Google und Symantec abgeschlossen sind, soll der Webbrowser Chrome Zertifikate von Symantecs Zertifizierungsstellen (CA) wie gewohnt akzeptieren, teilte das Sicherheitsunternehmen auf Anfrage von heise Security mit. Inhaber von derartigen Zertifikaten müssen aktuell also nichts tun.

Google hatte angekündigt, dass Chrome in naher Zukunft Extended-Validation-Zertifikate von Symantec und deren CAs wie Thawte und Verisign herabstufen soll. Das wäre für viele Symantec-Kunden bitter: Wer die erweiterte Überprüfung über sich ergehen ließ und dafür auch richtig Geld ausgegeben hat, würde dann im Regen stehen: Statt des grünen Schlosses mit Namen des Domain-Inhabers würde Chrome in diesem Fall nur das Schloss mit der Kennzeichnung „Sicher“ in der Adressleiste anzeigen, wie es bei Domain-Validated-Zertifikaten der Fall ist.

Als Grund für diese Konsequenz führt Google an, dass Symantec in den vergangenen Jahren 30.000 Zertifikate nicht korrekt ausgestellt hat. Symantec weist diesen Vorwurf zurück und will "das Missverständnis" klären. Wann die Verhandlungen abgeschlossen sind, ist derzeit nicht bekannt.

Auf Dauer will Google Symantecs CAs dazu bringen, regelmäßiger Zertifikate auszustellen. Dafür sollen kommende Chrome-Versionen neu ausgestellten Zertifikaten nur noch für neun Monate und weniger vertrauen. Durch diese Regelmäßigkeit sollen Chrome-Nutzer effektiver vor im Umlauf befindlichen nicht korrekt ausgestellte Zertifikaten geschützt werden. Zudem soll Chrome nach und nach aktuell ausgestellten Symantec-Zertifikaten nicht mehr vertrauen und revalidierte Versionen einfordern.

Wenn Google diesen Ankündigungen in die Tat umsetzt, will Symantec eigenen Angaben zufolge sicherstellen, dass Browser und Applikationen ohne Einschränkungen auf Web-Dienste mit derartigen Zertifikaten zugreifen können. Eine etwaige Neuausstellung soll für Kunden keine weiteren Kosten verursachen, versichert Symantec. (des)