MENU Schließen
Schließen

Datensicherheit: Sind Symantec Zertifikate noch vertrauenswürdig?

Ende Juli entschieden sich das Chrome Team zusammen mit der PKI Community dazu, der Infrastruktur von Symantec bis 2018 schrittweise das Vertrauen zu entziehen, um dem Nutzer weiterhin die gewohnte Sicherheit und Privatsphäre beim Surfen gewährleisten zu können.

Datensicherheit: Ursachen der Entscheidung

Am 19. Januar 2017 wurde die Aufmerksamkeit durch einen Post auf mozilla.dev.security.policy auf fragwürdige Sicherheitszertifikate gerichtet, welche durch Symantecs PKI ausgestellt wurden. Durch eine anschließende Analyse wurde erkannt, dass Symantec Zertifikate an Organisationen ausstellte, welche sich Sicherheitslücken bewusst waren.

Dieser Vorfall, sowie ein weiteres Ereignis, welches sich bereits 2015 ereignete, trieb das Chrometeam letztendlich dazu, die Vertrauenswürdigkeit von Sicherheitszertifikaten Symantecs anzuzweifeln. Nach dieser Bekanntgabe reagierte Symantec mit der Entscheidung, ihr PKI-Geschäft an DigiCert zu verkaufen und diese unabhängig betreiben zu lassen, anstatt eine neue vertrauenswürdige Infrastruktur aufzubauen.

Unsichere Zertifikate: Auswirkungen für Seitenbetreiber

Das Chrome Team entschied sich daraufhin, die folgenden Maßnahmen zu ergreifen. Mit dem Update von Chrome 66, welches voraussichtlich am 15. März 2018 für Betanutzer und am 17. April 2018 für die Allgemeinheit erscheinen soll, allen Symantec Zertifikaten die Vertrauenswürdigkeit zu entziehen, welche vor dem 1. Juni 2016 vergeben wurden.

Seitenbetreiber, die ein solches Zertifikat nutzen, sollten bis dahin auf ein anderes Zertifikat umsteigen. Ebenfalls wird den Zertifikaten, welche ab dem 1. Dezember 2017 von der alten Symantec Infrastruktur ausgestellt werden, das Vertrauen entzogen, da ab diesem Zeitpunkt auf die DigiCert-Infrastruktur umgestellt wird. Letztendlich entzieht Chrome mit dem Update auf Chrome 70 zu Ende Oktober 2018 allen Symanteczertifikaten die Vetrauenswürdigkeit.

Seitenbetreiber, welche bis zu diesem Zeitpunkt noch von Symantec ausgestellte Zertifikate nutzen, müssen bis dahin auf Ersatzzertifikate umsteigen, die von jeder Zertifizierungsstelle erhalten werden können, die derzeit von Chrome als vertrauenswürdig eingestuft wird.

Inhalt

Kommende Events & Webcasts:

Weitere Beiträge im Enginsight Blog
Die wahren Kosten eines Cyberangriff vs. Präventsionskosten - ein Fallbeispiel

Cybersecurity als Investition

Warum modernste Maßnahmen weniger kosten als die Folgen eines erfolgreichen Cyberangriffs Die Bedrohungslage steigt. Immer häufiger und immer ausgefeilter werden die Angriffe. So gut wie

White Hat

Mini-Pentest oder manueller Pentest?

Ist ein DIY-Pentest eine wirksame Cybersecurity-Maßnahme? Die zunehmende Komplexität in der Cybersicherheit fordert auch den Einsatz von neuen Technologien. Einfacher, besser… und sicherer? Es kommen

Security-Trends und Themen im Jahr 2024

Security-Trends und -Thesen 2024

Was sagen die Experten zu besonderen Bedrohungen, möglichen Schutzmechanismen/-technologien und den neuen Regularien? 2024 wird im Bereich Informations- und Cybersicherheit wohl wieder ein extrem anstrengendes