Symantecs Zertifikatsschlamperei und die Folgen

Chrome stuft Symantec SSL Zertifikate herab. Mittel- bis langfristig soll sogar das komplette Vertrauen für alle Zertifikate entzogen werden. So stand es gestern auf heise.de.

Das ist ein Schritt, der meiner Meinung nach schon längst überfällig geworden ist. Symantec ist ein Riese, was das CA Geschäft angeht. Viele Banken nutzen Zertifikate von Symantec und Tochterfirmen (nach Informationen von Firefox rund 42 % aller Zertifikate stammen von Symantec). Trotzdem scheinen sie ihren Laden nicht in den Griff zu haben.

Mehrfach ist Symantec durch die Ausstellung von falschen Zertifikaten aufgefallen. Laut Beobachtung von Google über mehrere Jahre hinweg rund 30.000 Zertifikate! Durchaus verständlich, dass Google darauf pochte, das Symantec Certificate Transparency einsetzt, nachdem auch ein Zertifikat für google.com ausgestellt worden ist.

Im Januar dieses Jahres ist übrigens wiederum eine größere Anzahl von unberechtigt ausgestellten Zertifikaten aufgetaucht. Über 100 TLS-Zertifikate wurden generiert u. a. für die von der ICANN verwalteten Domain example.com.

In Chrome sollen EV Zertifikate (also die mit der grünen Adresszeile und gerne von Banken verwendet) nur noch als normale Zertifikate ohne Inhaberinformationen angezeigt werden. Ab Chrome 59 soll die Laufzeit ab Ausstellung auf 33 Monate verkürzt werden, bei Chrome 64 nur noch auf neun Monate. Also genügend Zeit sich nach Alternativen umzusehen.

Für Symantec kommt das Ganze natürlich völlig überraschend. Nun, man kann denken was man will, aber dieser Schritt war überfällig. Wenn man bedenkt, dass vergangenes Jahr WoSign / StartSSL das Vertrauen entzogen wurde, ist dieser Schritt, bei diesen Vergehen, nur ein logische Folge.