Das Vertrauen in jene Firmen, die TLS-Zertifikate ausstellen, stellt einen wichtigen Eckpfeiler der verschlüsselten Datenübertragung im Internet dar. Umso unerfreulicher ist es dann, wenn eines dieser Unternehmen dieses Vertrauen bricht. Genau dies wurde in der Vergangenheit Symantec mehrfach vorgeworfen – und hat nun ziemlich unerfreuliche Konsequenzen.

Kein Vertrauen mehr

Mozilla hat in den aktuellen Nightly-Versionen seines Browser Firefox allen Zertifikaten von Symantec das Vertrauen entzogen. Damit folgt man dem Vorbild von Google, das diesen Schritt vor kurzem ebenfalls in den Dev-Channel-Versionen (Chrome 70) seines Browsers vorgenommen hat. Das Ergebnis: Bei sämtlichen Seiten, die ein Symantec-Zertifikat nutzen, liefern die Browser nun eine Warnmeldung anstatt die eigentliche Seite anzuzeigen. Davon betroffen sind auch Seiten mit Zertifikaten von Equifax, Geotrust, RapidSSL, Thawte und Versign, die allesamt in den vergangenen Jahren von Symantec gekauft wurden.

Eine sonderliche Überraschung darf dieses Schritt nicht darstellen: So hat etwa Google bereits vor rund einem Jahr bekannt gegeben, dass man Symantec-Zertifikaten das Vertrauen entziehen wird. Im März folgte dann ein konkreter Zeitplan. Auch Mozilla hat diesen Schritt schon lange angekündigt. Und doch scheint er selbst viele große Seiten unvorbereitet zu treffen, wie Nutzer der Testversionen von Chrome und Firefox schnell bemerken werden.

Paypal

Prominentestes Beispiel ist dabei der Zahlungsdienstleister Paypal, der es bis dato noch nicht geschafft hat, ein neues Zertifikat anzuschaffen. Das heißt, dass sämtliche Bezahlvorgänge über Paypal mit Chrome 70 und Firefox Nightly derzeit scheitern. Doch auch viele andere Online-Shops oder Banken scheinen noch nicht auf die Blockade vorbereitet zu sein, und verwenden weiter Symantec-Zertifikate.

Bei Paypal versichert man gegenüber dem STANDARD, dass man gerade an einer Lösung arbeite. Noch bevor Chrome 70 das Beta-Stadium erreicht, sollen die Zertifikate ausgetauscht werden. Dass all die anderen Seiten, die derzeit Fehler werfen, rechtzeitig reagieren, darf allerdings bezweifelt werden. Sie haben jetzt jedenfalls noch ein paar Wochen Zeit: Firefox 63 soll am 23. Oktober erscheinen, Chrome 70 bereits eine Woche zuvor – beide ohne Unterstützung für die entsprechenden Zertifikate.

Hintergrund

Symantec selbst hat Ende letzten Jahres sein Zertifikategeschäft an Digicert weiterverkauft. Auch der Neubesitzer drängt mittlerweile seine auf diesem Weg gewonnen Kunden dazu, ihre Zertifikate zu erneuern. Dem Entzug des Vertrauens für Symantec-Zertifikate waren zahlreiche Fälle vorangegangen, in denen die Firma ohne ausreichende Prüfung Zertifikate verkauft hat. So wurden etwa mehrfach illegitime Zertifikate für google.com ausgestellt, was Dritter nutzen konnten, um User auszuspionieren. Insgesamt soll Symantec über die Jahre mehr als 30.000 falsche Zertifikate ausgestellt haben. (Andreas Proschofsky, 27.8.2018)