Chrome: Google setzt Symantec das Messer auf die Brust

lock_openIm September wurde bekannt, dass Symantec ein Zertifikat für google.com ausgestellt hatte, obwohl es dazu keinen Auftrag ab. Im Nachgang gab das Unternehmen bekannt, dass man 20 Zertifikate gefunden habe, die nicht hätte ausgestellt werden dürfen. Jetzt hat Google in einem weiteren Beitrag weitere Informationen veröffentlicht und droht Symantec mit dem Ausschluss aus Chrome.

Zertifizierungsstellen müssen sich regelmäßig einem Audit stellen, der auch veröffentlicht wird. Somit kann geprüft werden, ob man sich an Sicherheitsvorkehrungen hält und ggf. Probleme abstellen. Google fordert für Symantec nun einen außerplanmäßigen Audit.

Symantec gab Mitte Oktober bekannt, dass man weitere 164 unberechtigte Zertifikate für 76 Domains und 2458 Zertifikate für nicht registrierte Domains gefunden habe. Ein Feature von Chrome ist es, dass für sogenannte EV-Zertifikate die „Certificate Transparency“ unterstützt werden muss. Dabei wird das Zertifikat vor der Ausstellung in ein Log eingetragen, das danach nicht mehr verändert werden kann. Das Log kann von anderen eingesehen werden.

Bisher fordert Google das nicht für Zertifikate, die kein EV sind. EV-Zertifikate erkannt man daran, dass in der Adressleiste der Name des Unternehmens angezeigt wird. Dies ist etwa bei Github oder Twitter der Fall. Für Symantec fordert Google ab dem 1. Juni 2016 die „Certificate Transparency“ für alle Zertifikate. Mit „Certificate Transparency“ wären die nicht berechtigten Zertifikate vermutlich früher aufgefallen.

Following our notification, Symantec published a report in response to our inquiries and disclosed that 23 test certificates had been issued without the domain owner’s knowledge covering five organizations, including Google and Opera.

Nach diesem Datum kann es mit Zertifikaten, die dann von Symantec ausgestellt wurde, aber nicht die Chromium Certificate Transparency policy werden möglicherweise Probleme und Unterbrechungen mit Google Produkten auftreten. Mit anderen Worten betrachtet Chrome das Root-CA dann nicht mehr als vertrauenswürdig und der Nutzer muss ggf. eine Warnung wegklicken.

Symantec ist nun aufgefordert den entsprechenden Bericht mit einem Post-Mortem auszustatten, der Infos darüber bringt, warum sie die Zertifikate, die Google gefunden hat, nicht selber gefunden haben und welche genaue Ursache jeweils der Grund war warum ein Zertifikat unberechtigt ausgestellt wurde.

Google möchte von Symantec neben den Schritten, die nun unternommen werden um ähnliche Vorfälle zu verhindern, auch einen Zeitplan. Diese Informationen müssen nicht veröffentlicht werden. Google und Mozilla haben bereits andere CAs als nicht mehr vertrauenswürdig eingestuft. Eine Zertifizierungsstelle aus China hat ähnliche Auflagen bekommen, wenn diese wieder in Chrome und Firefox integriert werden möchte.

Das Posting von Google schließt mit den Worten: Wir behalten uns weitere Schritte vor, wenn weitere Informationen bekannt werden.

Teile diesen Artikel: