Zertifikats-Streit: Symantec gelobt Google Besserung
Symantec geht auf Google zu, deren Webbrowser Chrome SSL-/TLS-Zertifikate der CA bald herunterstufen soll. Die Zertifizierungsstelle will nun regelmäßig Zertifikats-Prüfungen durchführen lassen.
Um Googles Misstrauen gegenüber SSL-/TLS-Zertifikaten von Symantec und deren Zertifizierungsstellen (CA) abzubauen, will die CA ihre Zertifikate künftig von Dritten prüfen lassen. Das kündigt Symantec in seinem Blog an.
An die Spielregeln halten
Die CA bietet an, alle Extended-Validation-Zertifikate durch einen nicht benannten externen Dienstleister prüfen zu lassen. Diese Audits sollen am 31. August 2017 abgeschlossen sein. Zusätzlich soll es Prüfungen aktiver Zertifikate von Partnern wie CrossCert geben.
Darüber hinaus will Symantec ab sofort vierteljährliche Audits durch WebTrust durchführen lassen. Außerdem will die CA aktualisierte Richtlinien des CA/Browser Forums prüfen und erfüllen. Das CA/Browser Forum definiert Sicherheitsstandards für CAs und Webbrowser und ist somit ein zentrales Konsortium, wenn es um die Verschlüsselung im Internet geht. Wer mitmischen möchte, muss sich an die Spielregeln des Forums halten.
Kürzere Gültigkeitszeiträume
Ab Ende August will Symantec SSL-/TLS-Zertifikate anbieten, die drei Monate gültig sind. Außerdem wollen sie eine kostenlose Domain-Validierung bei der Verlängerung von Zertifikaten einführen, die länger als neun Monate gültig sind. Damit geht Symantec auf Googles Forderung ein, dass die CA regelmäßiger Zertifikate ausstellen soll. Kommende Chrome-Versionen sollen neu ausgestellten Zertifikaten nur noch für neun Monate und weniger vertrauen. Durch diese Regelmäßigkeit sollen Chrome-Nutzer effektiver vor umlaufenden nicht korrekt ausgestellten Zertifikaten geschützt werden.
Es kriselt schon länger
Google hatte Ende März angedroht, dass Chrome Extended-Validation-Zertifikate von Symantec und deren CAs, etwa Thawte und Verisign, in naher Zukunft herunterstufen soll – aktuell ist das aber noch nicht der Fall. Als Grund dafür geben sie an, dass Symantec in den vergangenen Jahren 30.000 Zertifikate nicht korrekt ausgestellt hat. Symantec weist diesen Vorwurf zurück und will "das Missverständnis" klären.
Das Vertrauen zwischen Google und Symantec ist schon länger erschüttert: So hantierte Symanetec 2015 mit einem falschen Google-Zertifikat. Anschließend stellte Google der CA das Ultimatum, ihr Certificate-Transparency-Modell zu unterstützen. Dieser Ansatz soll etwa sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden. Im Jahr 2016 zog Google dann die Daumenschrauben weiter an. Anfang 2017 kam es erneut zu Problemen mit von Symantec ausgestellten Zertifikaten. (des)
