Webbrowser: Googles Chrome bekommt eigenen Root-CA-Speicher

Bislang verwendet Google Chrome für die Überprüfung von HTTPS-Zertifikaten das Betriebssystem als Vertrauensanker. Konkret lässt der Browser alle Zertifikate gelten, deren digitale Unterschrift sich auf eines der vom Betriebssystem installierten Root-CA-Zertifikate zurückführen lässt; also die von Microsoft installierten auf Windows, die von Apple auf macOS und so weiter. Jetzt will Google einen eigenen Root-CA-Store aufbauen, den Chrome dann standardmäßig verwendet.

Dieser Root-CA-Store soll dann die Wurzelzertifikate aller Zertifizierungsstellen enthalten, denen Chrome standardmäßig vertraut. Für die Aufnahme hat das Chrome-Team bereits eine Policy erstellt, die Bedingungen formuliert, denen die CAs genügen müssen. Mozilla betreibt bereits ein ähnliches Programm für den Root-CA-Store von Firefox. Denn anders als Chrome verwendet Firefox traditionell seine eigenen Zertifikate und nicht die des Betriebssystems.

Mehr Macht für Google

Der Hintergrund dieser Veränderung ist offensichtlich: Google hat schon seit einiger Zeit Chrome als Hebel benutzt, eine Modernisierung der Public Key Infrastruktur (PKI) für HTTPS zu erzwingen. So setzten sie etwa Certificate Transparency gegen den erbitterten Widerstand der damit überwachten Zertifizierungsstellen durch. Mit ihrem eigenen Root-CA-Store verlängern sie diesen Hebel ganz enorm. Letztlich steht damit die konkrete Drohung im Raum: Wenn eine Root-CA nicht mitspielt, fliegt sie raus.

Das ist keineswegs eine leere Drohung, wie Symantec es bereits am eigenen Leib erfahren musste: Nachdem Google die Firma mehrfach dabei erwischt hatte, dass sie unberechtigt Zertifikate auf Google-Domains ausgestellt hatte, entzogen sie der CA das Vertrauen und blendeten Warnhinweise bei allen Zertifikaten ein, die von Symantecs CAs beglaubigt waren. Letztlich sah sich Symantec gezwungen, die komplette Geschäftssparte an den Konkurrenten DigiCert zu verkaufen.

(ju)