Globaltrust-Zertifikate fliegen aus Chromium-Browsern
Chromium und Chrome akzeptieren von Globaltrust ab Juli ausgestellte Zertifikate nicht mehr. Es gab wiederholt Probleme bei dem österreichischen Anbieter.
Google wirft Globaltrust, einen von zwei österreichischen Anbietern qualifizierter Zertifikate, aus dem Chrome Root Store. Damit werden die Browser Zertifikate, die ab 1. Juli 2024 von Globaltrust ausgestellt werden, nicht mehr als vertrauenswürdig akzeptieren. Bereits jetzt oder noch bis 30. Juni ausgestellte Zertifikate sind nicht betroffen; solange diese Zertifikate nicht abgelaufen oder zurückgezogen sind, werden sie auch weiterhin mit Chromium/Chrome-Browsern funktionieren. Das Update wirkt zurück bis Version 124 der Chromium/Chrome-Browser. Globaltrust ist eine Marke der e-commerce monitoring GmbH.
Einen einzelnen konkreten Grund gibt es nicht. Die bis Ende Juni gewährte Übergangsfrist belegt, dass keine konkrete Sicherheitslücke bekannt ist. Vielmehr hat das österreichische Unternehmen wiederholt Unmut auf sich gezogen. "In mehreren Fällen in den letzten drei Jahren", habe die e-commerce monitoring GmbH die Anforderungen nicht erfüllt, sagt Googler Chris Clements in der Mitteilung des Rauswurfs. "Angesichts dessen sind wir zu dem Schluss gekommen, dass die Zertifikate 'Globaltrust 2020' unter einem Verlust an Integrität leiden, und Maßnahmen notwendig sind, um die Online-Sicherheit der Chrome-User zu gewährleisten."
Als Beispiel für Verfehlungen nennt Clements acht verschiedene Einträge im Bugtracker Bugzilla seit 2021, laut derer Globaltrust handwerkliche Fehler gemacht, etwa die fehlende Zurückziehung eines speziell für Tests der Revocation-Funktion ausgestellten Testzertifikats, diverse Probleme mit Pre-Certificates, und bei zwei Certificate Revocation Lists (CRL) eine vom Namen der Certiciate Authority abweichende Bezeichnung des Revocation Issuers. Außerdem hat Globaltrust bei der Zurückziehung von Zertifikaten gerne einen falschen Grund angegeben (cessation of operation).
Globaltrust will sich zurückkämpfen
Schwerer dürfte wiegen, dass Globaltrust aus Sicht von Kritikern bisweilen schleppend auf Hinweise reagiert hat und Incident Reports als unzureichend eingestuft wurden. Kürzlich begründete das Unternehmen langsame Abhilfe mit parallel laufende Audits und einem Managementwechsel, was die Kritiker aber keineswegs befriedigte. Einer stellte eine Liste von Fehlermeldungen zusammen, in denen Globaltrust spät oder unzureichend reagiert beziehungsweise einen unzureichenden Incident Report erstellt hätte. Das brachte das Fass zum Überlaufen.
Grundsätzlich soll jeder Herausgeber von Stammzertifikaten Endnutzern mehr Vorteile als Risiko bringen. Das sieht Google bei Globaltrust als nicht mehr gegeben an, weshalb der Herausgeber ausgelistet wird. "Diese Entscheidung basiert auf einer Begründung seitens Google, die mangelhafte Kommunikation mit dem Google-Programmteam in den letzten drei Jahren anführt", sagte ein Sprecher der e-commerce monitoring GmbH zu heise scurity, "Bei den von Google angesprochenen Fällen handelt es sich vorrangig um technisch-funktionale Aspekte. Die Sicherheit und Rechtmäßigkeit der Dienste wurden zu keiner Zeit in Frage gestellt. (…) Selbstverständlich werden wir dem von Google genannten Ausschlussgrund nachgehen und unser Service-Level verbessern, um wieder in das Google CA Programm aufgenommen zu werden." Vorerst droht allerdings das Auslisten auch bei Mozilla (Firefox).
e-commerce monitoring GmbH
Globaltrust bietet neben Server-Zertifikaten auch revisionssichere Zeitstempel, Zertifikate für Kassensysteme, Signaturen für Dokumente, Softwarecode, E-Mails, und andere Dokumente, sowie elektronische Siegel für Informationen in der Europäischen Datenbank für die Energieverbrauchskennzeichnung von Produkten (EPREL) an.
Ursprünglich eine Tochterfirma der österreichischen Datenschutzorganisation Arge Daten, gehört die e-commerce monitoring GmbH seit Februar der griechisch-österreichischen Firma Austria Card. Dieses in Athen und Wien börsennotierte Unternehmen verkauft sogenannte Secure Smart Cards, also Plastikkarten mit Chips, wie sie für Debit- und Kreditkarten, elektronische Geldbörsen, oder Zutritts- und Login-Systeme genutzt werden. Zu den Kunden der Austria Card zählen Banken, Versicherungen, öffentliche Einrichtungen, Netzbetreiber, Lotterien, Fluggesellschaften, Energieversorger, Einzelhandelskonzerne und so weiter.
Stammzertifikate
Bei verschlüsselten Übertragungen ist nicht nur wichtig, dass die Daten auf dem Transportweg geschützt sind, sondern auch, wer die Daten am anderen Ende empfängt und entschlüsselt. Zertifikate verbürgen die Identität der Gegenstelle, damit man die Daten nicht in falsche Hände schickt. Stammzertifikate bürgen wiederum dafür, dass die darauf fußenden Zertifikate echt sind, und die Identität des Inhabers tatsächlich geprüft wurde.
Denn Stammzertifikaten jedoch muss Software schlicht vertrauen. Sie benötigt also eine Liste mit vertrauenswürdigen Stammzertifikaten (root certificates), einen sogenannten "Trust Store". Das Vertrauen muss groß sein, schließlich könnte ein böswilliger Herausgeber User in die Irre führen, in dem er Zertifikate für Server unter falschen Identitäten beglaubigt – und schon landen die bei der Übertragung sicher verschlüsselten Daten doch in falschen Händen.
Lange Zeit vertrauten Chromium-Browser wie Chrome den Trust Stores der Betriebssysteme, auf denen sie liefen. Seit 2022 nutzen Chromium und Chrome den hauseigenen Chrome Root Store (auĂźer auf iOS, wo Apple das nicht erlaubt). Bei Mozilla-Browsern wie Firefox gilt Ă„hnliches, auch dort gibt es einen eigenen Mozilla Root Store. Und auch dort wird der Rauswurf Globaltrusts erwogen.
(ds)