Datensicherheit: Sind Symantec Zertifikate noch vertrauenswürdig?

Inhalt

Ende Juli entschieden sich das Chrome Team zusammen mit der PKI Community dazu, der Infrastruktur von Symantec bis 2018 schrittweise das Vertrauen zu entziehen, um dem Nutzer weiterhin die gewohnte Sicherheit und Privatsphäre beim Surfen gewährleisten zu können.

Datensicherheit: Ursachen der Entscheidung

Am 19. Januar 2017 wurde die Aufmerksamkeit durch einen Post auf mozilla.dev.security.policy auf fragwürdige Sicherheitszertifikate gerichtet, welche durch Symantecs PKI ausgestellt wurden. Durch eine anschließende Analyse wurde erkannt, dass Symantec Zertifikate an Organisationen ausstellte, welche sich Sicherheitslücken bewusst waren.
Dieser Vorfall, sowie ein weiteres Ereignis, welches sich bereits 2015 ereignete, trieb das Chrometeam letztendlich dazu, die Vertrauenswürdigkeit von Sicherheitszertifikaten Symantecs anzuzweifeln. Nach dieser Bekanntgabe reagierte Symantec mit der Entscheidung, ihr PKI-Geschäft an DigiCert zu verkaufen und diese unabhängig betreiben zu lassen, anstatt eine neue vertrauenswürdige Infrastruktur aufzubauen.

Unsichere Zertifikate: Auswirkungen für Seitenbetreiber

Das Chrome Team entschied sich daraufhin, die folgenden Maßnahmen zu ergreifen. Mit dem Update von Chrome 66, welches voraussichtlich am 15. März 2018 für Betanutzer und am 17. April 2018 für die Allgemeinheit erscheinen soll, allen Symantec Zertifikaten die Vertrauenswürdigkeit zu entziehen, welche vor dem 1. Juni 2016 vergeben wurden. Seitenbetreiber, die ein solches Zertifikat nutzen, sollten bis dahin auf ein anderes Zertifikat umsteigen. Ebenfalls wird den Zertifikaten, welche ab dem 1. Dezember 2017 von der alten Symantec Infrastruktur ausgestellt werden, das Vertrauen entzogen, da ab diesem Zeitpunkt auf die DigiCert-Infrastruktur umgestellt wird. Letztendlich entzieht Chrome mit dem Update auf Chrome 70 zu Ende Oktober 2018 allen Symanteczertifikaten die Vetrauenswürdigkeit.
Seitenbetreiber, welche bis zu diesem Zeitpunkt noch von Symantec ausgestellte Zertifikate nutzen, müssen bis dahin auf Ersatzzertifikate umsteigen, die von jeder Zertifizierungsstelle erhalten werden können, die derzeit von Chrome als vertrauenswürdig eingestuft wird.

 

Share on linkedin
Share on twitter
Share on facebook
Der IT-Security Newsletter

News rund um Enginsight und IT-Sicherheit für clevere Admins, CISOs und alle Sicherheits-Verantwortlichen

Weitere interessante Security-Beiträge

Neuigkeiten über Enginsight, IT-Sicherheit, IT-Monitoring, Asset-Management, Risikomanagement und vieles mehr aus der Security-Branche, erfahren Sie in unserem Blog.

NGS-Fantasy
7-Tage Newsletter
Werden Sie zum Helden Ihrer Kunden

7 Tage Wissen und Insights für IT-Security Dienstleister.

Enginsight Logo