Mozilla verschiebt Firefox-Misstrauen in unsichere Symantec-Zertifikate
Zu viele populäre Webseiten verwenden immer noch unsichere Zertifikate von der Symantec-CA. Firefox 63 soll deshalb noch nicht vor diesen Seiten warnen.
Das Hauptquartier des Firefox-Entwicklers Mozilla in San Francisco.
(Bild: dpa, Andrej Sokolow)
Eigentlich sollte Firefox mit der kommenden Version 63 den unsicheren TLS-Zertifikaten von Symantec generell nicht mehr vertrauen. In der Nightly-Version vom August 2018 stufte der Browser die Symantec-Zertifizierungsstelle (Certificate Authority, CA) als nicht vertrauenswürdig ein, und eigentlich sollten sich die daran anschließende Beta-Version des Browser sowie ab 23. Oktober die fertige Firefox-Version 63 ebenso verhalten. Doch daraus wird vorerst nichts, wie Mozilla-Entwickler Wayne Thayer mitteilte.
Symantec-CA das Vertrauen entzogen
Symantec hatte sein Geschäft mit der Zertifizierungsstelle 2017 eingestellt und die Sparte an DigiCert verkauft. Dieses Unternehmen bietet Website-Administratoren an, betroffene Symantec-Zertifikate (die teils unter den Namen von zugekauften Firmen wie Equifax, Geotrust, RapidSSL, Thawte oder Verisign ausgestellt wurden) kostenlos gegen neue DigiCert-Zertifikate zu tauschen. Symantec hatte erheblichen Unmut in der Branche hervorgerufen, weil sich die Firma des öfteren nicht an die Regeln beim Vergeben von Zertifikaten hielt und etwa mehrfach unberechtigterweise Zertifikate für die Domain google.com ausgestellt hatte.
Aus diesem Grund entzogen Google (in seinem Browser Chrome) sowie Apple mit Safari der Symantec-CA bereits das Vertrauen. Auch Mozilla wollte bei Firefox nachziehen und der TLS-Verschlüsselung für Webseiten mit Symantec-Zertifikaten nicht mehr vertrauen. Dazu war im Zuge eines mehrstufigen Plans bereits in früheren Firefox-Versionen zunächst älteren Symantec-Zertifikaten (mit wenigen Ausnahmen) das Vertrauen entzogen worden.
Beim Besuch solcher Webseiten (etwa von verbraucherzentrale.de) blendet die Nightly-Version 63 des Browsers eine Warnung ein, dass Angreifer bei dieser Verbindung etwa Passwörter oder Kreditkartendaten mitlesen könnten. Benutzer können die Seite erst aufrufen, nachdem sie eine Ausnahmeregel im Browser hinzugefügt haben. Wie Wayne Thayer nun jedoch in einem Blogbeitrag bekanntgab, will Mozilla diese Maßnahme vorerst stoppen und sie weder in die Beta- noch in die finale Version 63 von Firefox übernehmen.
Austausch der Zertifikate verschleppt
Als Grund für die Entscheidung nennt Thayer die Tatsache, dass noch immer zahlreiche häufig besuchte Webseiten im Internet solche unsicheren Zertifikate einsetzten – nach Messungen von Mozilla sollen es mehr als 1 Prozent der am häufigsten besuchten eine Million Webseiten weltweit sein (nach der Cisco-Umbrella-Liste). Thayer findet es bedauerlich, dass so viele Webseiten-Admins noch nicht tätig geworden sind, womöglich weil sie sich der Lage nicht bewusst seien.
Zwar halte Mozilla die Sicherheit der Browser-Benutzer für wichtig, schreibt Thayer, und man sei sich des Risikos bewusst, das mit einer Verzögerung des CA-Vertrauensentzugs einhergehe. Dennoch misst man den negativen Auswirkungen größeres Gewicht bei und verschiebt daher die Änderung auf Firefox 64, dessen Beta-Version Mitte Oktober herauskommen soll. (tiw)
