sabines
Goto Top

Google entzieht Symantec ab 2018 das Vertrauen

"Ab April wird der Google-Browser Chrome für Zertifikate Fehler melden, die Symatecs CAs ausgestellt haben. Dazu gehören unter anderem Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Wer die noch im Einsatz hat, muss bald handeln."

https://www.heise.de/security/meldung/Zertifizierung-Google-entzieht-Sym ...

Im Zweifel bedeutet das rechtzeitig neue Zertifikate zu beschaffen und hier ggfs. nicht die günstige lange Laufzeit zu wählen, wer weiß, wen es demnächst noch alles trifft.

Content-Key: 349076

Url: https://administrator.de/contentid/349076

Ausgedruckt am: 28.03.2024 um 16:03 Uhr

Mitglied: falscher-sperrstatus
falscher-sperrstatus 14.09.2017 um 11:26:24 Uhr
Goto Top
Weiss jemand, wie Microsoft das sieht? Immerhin sind nicht nur ein paar solche Zertifikate im Umlauf.

VG
Mitglied: ashnod
ashnod 14.09.2017 um 12:10:45 Uhr
Goto Top
Eigentlich ja nicht schlecht, die Politik rund um Zertifikatsstellen ist viel zu sehr Kommerzgesteuert.

Es wäre schön wenn sich daraus etwas Nutzbringendes entwickelt

Sanfte Grüße
Mitglied: 121016
121016 14.09.2017 um 15:29:39 Uhr
Goto Top
Danke für die Info!

zwar ein wenig OT (oder auch nicht), und schon ein paar Jahre her, aber vielleicht interessiert es wen: klick - Chaosradio vom CCC
Mitglied: clSchak
clSchak 15.09.2017 aktualisiert um 11:00:13 Uhr
Goto Top
Man kann es auch von der anderen Seite betrachten, Google entzieht einfach allen das Vertrauen außer die die zahlen, es ist schon bedenklich das ein einzelner Konzern solche "Macht" hat - auch wenn es zum Teil begründet ist.

Ich würde solche Aufgaben eher einer unabhängigen Institution in die Hand geben die daraus keinen Profit schlagen kann, aktuell machen alle das was Google sagt.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 15.09.2017 um 11:06:28 Uhr
Goto Top
@clSchak,

beachte bitte die sog. "Deutsche Umwelthilfe", die zieht auch Profit aus Ihrem "unabhängigen Institutionssein"....
Mitglied: clSchak
clSchak 15.09.2017 aktualisiert um 12:08:49 Uhr
Goto Top
Ja ich weiß face-confused ist ja nicht die einzige, aber die Idee dahinter ist gut face-smile. Meine Idee war ja eine Institution der es nicht möglich sein sollte daraus Profit zu schlagen.

Edit / Add:
Firmenintern ist das alles kein Problem, aber aufgrund von Google immer wieder neue Certs zu kaufen ist dann doch eher kontraproduktiv.
Mitglied: falscher-sperrstatus
falscher-sperrstatus 15.09.2017 um 13:18:43 Uhr
Goto Top
naja, google macht das auch nicht "einfach so".Siehe der Zert. Skandal bei Symantec...
Mitglied: SaschaHen
SaschaHen 20.09.2017 um 09:17:48 Uhr
Goto Top
Liebe Administrator-Leser,

leider ist die Meldung so nicht korrekt. Hier einmal mein Kommentar dazu, den ich auch schon bei Heise gepostet habe:

Liebes Heise-Team,
Liebe Heise-Leser,

da die Redaktion leider heute nicht vollständig besetzt ist –hier, wie versprochen, eine Klarstellung meinerseits zu dem Artikel.

Das Wichtigste zuerst: Symantec wird nicht das Vertrauen entzogen!

Nun aber im Detail:
Bereits im März gab es zwischen Google und Symantec einen Konflikt aufgrund falsch ausgestellter Test-Zertifikate durch einen RA-Partner.
Als erste Folge hier von wurde das RA-Programm eingestellt.

Dies wurde im Chromium Forum entsprechend diskutiert.
Hier einmal der Link:
https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwji ...

Im selbigen findet sich bereits am 28.07.2017 ein Beitrag von Darin Fisher welcher den, Zeitstrahl, der auch im Artikel verlinkten ist, abbildet. (Seite 11)

Die verlinkte Stellungnahme von Google ist allerdings tatsächlich erst vom 11.09.2017.
In dieser wird aber auch klargestellt, dass es nicht darum geht Symantec das Vertrauen zu entziehen. Vielmehr heißt es hier:
„(...a plan to reduce, and ultimately remove, trust in Symantec’s infrastructure)“
Es geht mithin nicht um die Zertifikate, sondern um die alte Infrastruktur. Die neue Infrastruktur von Symantec geht am 01.12. 2017 online.

Einen Zeitstrahl und die entsprechenden Informationen haben wir auch bereits in unserem Blogbeitrag unter
https://blog.certcenter.de/2017/07/symantec-reissue/
veröffentlicht.

Der Plan sieht nun Folgendes vor:

1. Zertifikate welche vor dem 01.06.2016 ausgestellt wurden müssen bis zur Chrome 66 (Beta 15 März 2018, Release 17.03.2018) neu ausgestellt werden .

2. Des Weiteren müssen Zertifikate, die vor dem 01.12.2017 ausgestellt wurden (und sein werden) zwischen dem 01.12.2017 und 23.10.2018, also vor Chrome 70 neu ausgestellt werden, so dass sie ebenfalls über die neue Infrastruktur ausgestellt wurden.

Welche Konsequenzen ergeben sich nun für die Kunden bzw. Anwender?
Timeline unter
https://blog.certcenter.de/wp-content/uploads/2017/07/transitioning-to-s ...

Für Kunden ergeben sich nun die folgenden vier Anwendungsfälle:

1. Zertifikatslaufzeit < 17.04. 2018
Zertifikate, die vor dem 17.04.2018 (bzw. vor Chrome 66) auslaufen, sind von dieser Anpassung nicht betroffen.

2. Zertifikatslaufzeit >17.04. 2018 aber < 23.10.2018 ; ausgestellt vor dem 01.06.2016
Zertifikate, die vor dem 01.06.2016 ausgestellt wurden und zwischen dem 17.04.2018 (bzw. vor Chrome 66) und dem 23.10.2018 (bzw. vor Chrome 70) auslaufen, können ab sofort neu ausgestellt werden und müssen bis zum 17.04.2018 ersetzt worden sein.

3. Zertifikatslaufzeit und >23.10.2018; ausgestellt vor dem 01.06.2016
Zertifikate, die vor dem 01.06.2016 ausgestellt wurden und nach dem 23.10.2018 (bzw. vor Chrome 70) noch gültig sind, müssen ebenfalls vor dem 17.04.2018 neuausgestellt werden. Da diese aber zusätzlich auf der neuen Infrastruktur erzeugt werden müssen, empfehlen wir diese zwischen dem 01.12.2017 und dem 17.04.2018 neuauszustellen, um den Aufwand gering zu halten.

4. Zertifikatslaufzeit >23.10.2018; ausgestellt nach dem 01.06.2016
Zertifikate, die nach dem 01.06.2016 ausgestellt wurden und nach dem 23.10.2018 (bzw. vor Chrome 70) noch gültig sind, müssen ebenfalls zwischen dem 01.12.2017 und dem 23.10.2018 (bzw. vor Chrome 70) neuausgestellt werden, damit sie über die neue Infrastruktur erzeugt wurden.

Bei allen Punkten ist zu beachten, dass das Ausstellungsdatum der wesentliche Faktor ist. Da Zertifikate über unsere Oberfläche 90-Tage vor dem Auslaufen, unter Anrechnung der Restlaufzeit, verlängert werden können, können hierdurch Überschneidungen vermieden werden. So kann zum Beispiel ein Zertifikat, welches am 30.11.2017 bestellt und am gleichen Tag ausgestellt werden würde, bei einer Laufzeit von einem Jahr am 29.11.2018 auslaufen und somit in Kategorie Nr. 4 fallen. 90-Tage vorher , also spätestens am 02.09.2018 kann das Zertifikat über unsere Oberfläche bequem verlängert werden, so dass keine zusätzliche Einbindung erforderlich wird.

Des Weiteren ist Übernahme von Symantec durch DigiCert kein Geheimnis.
Dies wurde bereits Anfang August kommuniziert.
http://investor.symantec.com/About/Investors/press-releases/press-relea ...

Ich hoffe, dass ich hierdurch den Ablauf genauer aufzeigen konnte.

Mit den besten Grüßen

Sascha Henrikson
Mitglied: sabines
sabines 21.09.2017 um 07:35:33 Uhr
Goto Top
Hi,

ist das dann wenigsten so kulant, dass für den Kunden keine Kosten entstehen, bzw. die Restlaufzeit angerechnet wird?
Für jemanden, der ein dreijahres Zertifikat gekauft hat, kann das durchaus ein Argument sein nicht zur Konkurrenz zu wandern.

Und ich würde es gut finden, wenn Du klarer darstellen würdest, dass Du (wahrscheinlich) zu CertCenter gehörst.

Gruss
Mitglied: SaschaHen
SaschaHen 21.09.2017 um 08:38:27 Uhr
Goto Top
Guten Morgen Sabines,

Vielen dank für den Kommentar face-smile
Ja, natürlich gehöre ich zur CertCenter AGface-smile Ich dachte das wäre aus " ...Einen Zeitstrahl und die entsprechenden Informationen haben wir auch bereits in unserem Blogbeitrag unter...veröffentlicht..."
Die Neuausstellung ist grundsätzlich kostenlos. Je nachdem, wo Du das Zertifikat bestellt hast, hast du entweder einen Link über den du das ansteuern kannst oder aber du erhälst bei deinem Händler Hilfe. Wir haben diesen Punkt in unsere Oberfläche integriert.
Wichtig bei dir wäre, je nachdem wann das Zertifikat ausläuft, dass du es nach dem 01.12.2017 neuausstellen lässt, sollte es davon betroffen sein.
Des Weiteren dürfen durch den Ballot 193 aus dem CA-Browserforum Zertifikate, die ab dem 01.03.2018 ausgestellt werden (hierzu zählen auch Neuausstellungen) eine Laufzeit von 825 Tage (grob 2 Jahre & 95 Tage) nicht überschreiten. Das heißt, dass du Laufzeit verlieren würdest, wenn du z.B. noch ein Cert hast, welches 2,5 Jahre gültig ist, wenn du es nach dem 28.02.2018 neuausstellst.
(https://developers.certcenter.com/blog/immediate-action-required-cabrows ..)
Komm gut in den neuen Tag. Für Fragen stehe ich gerne zur Verfügung.

Mit den besten Grüßen
Sascha Henrikson
Sascha.Henrikson@certcenter.com