Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.703.356 Produkten

Fabian A. Scherschel 372

Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

Chrome entzieht in Zukunft 10 Prozent der wichtigsten SSL-Seiten das Vertrauen

Bild: Pixabay

Mit Chrome 66 und 70 im April und Oktober entzieht Google gut hunderttausend der wichtigsten Domains das Vertrauen, falls diese sich keine neuen SSL-Zertifikate besorgen. Das Ganze ist eine Bestrafungsaktion gegen den Zertifikatsaussteller Symantec.

Geht alles nach Plan, macht Google am 17. April mit Chrome 66 Ernst: Ab dann werden Nutzer gewarnt, wenn der Browser auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurden. Chrome beschwert sich dann, dass die Verbindung nicht sicher sei und eventuell Daten von Dritten abgefangen werden könnten. Am 23. Oktober, wenn Chrome 70 erscheinen soll, wird es noch unangenehmer für die Besitzer von Seiten mit Symantec-Zertifikaten: Ab dann stuft Googles Browser alle Verbindungen, die Symantec-Zertifikate nutzen, als nicht vertrauenswürdig ein und warnt noch lauter. Ein Sicherheitstechniker der Firma Airbnb hat sich nun die Mühe gemacht, herauszufinden, wie viele Seiten genau betroffen sind.

Anzeige

Das Skript, das Arkadiy Tetelman gebaut hat um eine Million der (laut Alexa-Ranking) meistbesuchten Seiten im Netz nach Symantec-Zertifikaten zu durchsuchen, lief elf Stunden und fand insgesamt 11.510 Domains, die im April Fehler produzieren werden. Weitere 91.627 Domains werden mit dem Chrome-Update im Oktober Warnmeldungen auslösen. Für Admins, die nachschauen wollen, ob die eigene Seite betroffen ist, hat Tetelman eine Textdatei zur Verfügung gestellt. Unter anderem in der Liste: Das Bundesfinanzministerium, Spiegel Online, die Uni Hildesheim, wetter.de, die Stadt Nottingham und Elon Musks Elektroautohersteller Tesla.

Betroffen sind nicht etwa nur direkt von Symantec ausgestellte Zertifikate. Alle Zertifikate, deren Vertrauenskette auf Symantec zurück geht, wird das Vertrauen entzogen. Das betrifft unter anderem CAs wie GeoTrust, RapidSSL und Thawte. Um auf Nummer Sicher zu gehen sollten Admins die Root-CA ihrer Zertifikate überprüfen.

Google nutzt den Chrome-Browser als Hebel gegen Symantec, da der Zertfikatsaussteller laut Google nachhaltig das Vertrauen in die Zuverlässigkeit seiner Infrastruktur zerstört hat. Google hatte Symantec mehrfach dabei erwischt, unberechtigterweise Zertifikate auf tausende von Domains ausgestellt zu haben. Vor allem hatte Symantec aber auch unberechtigt Zertifikate auf google.com ausgestellt – ein Fauxpas, den Google offensichtlich nicht auf sich sitzen lassen will. Google hatte Symantec danach schrittweise das Vertrauen entzogen. (fab)

372 Kommentare

Themen:

Anzeige
  1. Zertifizierung: Google entzieht Symantec 2018 das Vertrauen

    Zertifizierung: Google entzieht Symantec 2018 das Vertrauen

    Ab April wird der Google-Browser Chrome für Zertifikate Fehler melden, die Symatecs CAs ausgestellt haben. Dazu gehören unter anderem Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Wer die noch im Einsatz hat, muss bald handeln.

  2. Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Chrome soll ab sofort Zertifikate von Symantec herabstufen

    Google tadelt abermals Symantec als Zertifizierungsstelle. Als erstes soll Chrome nun Zertifikate herabstufen. Als längerfristiges Ziel ist sogar eine Annullierung vorgesehen. Symantec findet das verantwortungslos.

  3. Kommentar zu SSL-Zertifikaten: Googles Rachefeldzug gegen Symantec

    Kommentar: Google auf Rachefeldzug

    Google missbraucht den Chrome-Browser für einen Rachefeldzug gegen Symantec. So sieht heise-online-Redakteur Fabian Scherschel die Google-Entscheidung, den Symantec-SSL-Zertifikaten kollektiv das Vertrauen zu entziehen.

  4. Zertifikats-Streit: Symantec gelobt Google Besserung

    Zertifikats-Streit: Symantec gelobt Besserung gegenüber Google

    Symantec geht auf Google zu, deren Webbrowser Chrome SSL-/TLS-Zertifikate der CA bald herunterstufen soll. Die Zertifizierungsstelle will nun regelmäßig Zertifikats-Prüfungen durchführen lassen.

  1. Chrome blockt Zertifikate mit Common Name

    Chrome blockt Zertifikate mit Common Name

    Wenn der seit Jahren etablierte, hauseigene Dienst plötzlich den HTTPS-Zugang verwehrt, liegt das vermutlich an einer Neuerung der aktuellen Chrome-Version: Google erzwingt den Einsatz der RFC-konformen "Subject Alt Names" und viele Admins müssen deshalb jetzt Hand anlegen.

  2. Wachsende Kritik an Public Key Pinning für HTTPS

    Wachsende Kritik an Public Key Pinning für HTTPS

    Die noch recht junge Technik der Zertifikats-Pinnings für HTTPS bekommt Gegenwind. Prominente Kritiker wie Ivan Ristic prophezeien sogar schon ihren absehbaren Tod: Zu kompliziert und zu gefährlich, lautet deren Diagnose.

  3. Welche Browser unterstützen HTML5?

    Es gibt dutzende Web-Browser, die für unterschiedliche Zwecke gedacht sind. Aber welche unterstützen HTML5-Webseiten?

  1. MateBook X Pro: Huawei möbelt sein 3:2-Windows-Notebook auf

    Huawei möbelt sein 3:2-Windows-Notebook auf

    Das MateBook X Pro macht vieles besser als der erste Notebook-Versuch von Huawei. Das praktische 3:2-Display wird größer und höher aufgelöst, der Prozessor schneller, die Kühlung besser. Kurios ist die aufklappbare Kamera in der Tastatur.

  2. Noch ein Klassiker: HMD legt das Nokia 8110 neu auf

    Noch ein Klassiker: HMD legt das Nokia 8810 neu auf

    Der ikonische gebogene Slider ist wieder da: Das Nokia 8110 soll für Furore sorgen, obwohl es nur ein einfaches Handy ohne Smart-Funktionen ist. Im vergangenen Jahr ist Hersteller HMD Global das mit dem Nokia-Klassiker 3310 gelungen.

  3. Warum nicht das Fahrverbot selber machen?

    Warum wurden am Wochenende keine Straßenkreuzungen blockiert? Stattdessen starrt die Umweltbewegung wie das Kaninchen auf die Schlange auf die Entscheidung der Justiz

  4. Domain-Daten und Whois beim Denic: Sag zum Abschied leise Servus

    Sag zum Abschied leise Servus

    Schon bald wird die Denic die Daten von Domaininhabern nur noch sparsam veröffentlichen. Viele Daten wie der alte AdminC werden gar nicht mehr abgefragt, sagt Denic-Geschäftsführer Jörg Schweiger. Das alte Whois wird ein Stück weit Geschichte…..

Anzeige