Geekly articles weekly

Google hat das Vertrauen in Symantec-Zertifikate verloren



Die Entwickler des Google Chrome-Browsers haben angekündigt , das Vertrauen und die Neuausstellung alter Symantec SSL-Zertifikate, die Löschung des EV-Status sowie die Reduzierung der Gültigkeit zukünftiger Zertifikate auf ≤ 9 Monate zu beenden. Dies ist das Ergebnis einer Untersuchung von Vorfällen mit Zertifikaten, die ohne Erlaubnis der Eigentümer ausgestellt wurden, sowie der aktuellen Praktiken im Unternehmen.

Die Google-Untersuchung dauerte zwei Monate von Januar bis März 2017. Je länger es dauerte, desto mehr Fragen stellten sich für Symantec und zeigten Verstöße bei der Ausstellung von Zertifikaten. Die Geschichte von 2015 , als Symantec willkürlich ein Zertifikat für die Domains von Google, Opera und mehreren anderen Organisationen ausstellte, wurde noch nicht gelöscht.

Dann erklärte Symantec seine Aktionen wie folgt: „Eine kleine Anzahl von Testzertifikaten wurde fälschlicherweise für den internen Gebrauch während des Tests ausgestellt. Alle diese Testzertifikate und Schlüssel waren ständig unter unserer Kontrolle und wurden sofort widerrufen, als wir von dem Problem erfuhren. Es gab keine Auswirkungen auf Domains und keine Gefahr für das Internet. “ Mitarbeiter, die gegen die Richtlinien verstoßen und den Vorfall begangen haben, wurden entlassen.

Die Prüfung ergab jedoch 187 Zertifikate für bestehende Domains, die ohne Wissen der Eigentümer ausgestellt wurden, und 2458 Zertifikate für nicht existierende Domains.

Nach diesem Vorfall wurde klar, dass Symantec sehr schlecht in der Sicherheit war. Google forderte eine Reihe von Maßnahmen, darunter die Unterstützung aller neuen Zertifikate mit dem Zertifikatstransparenz- Framework, die Durchführung einer zusätzlichen Prüfung, die Veröffentlichung eines Vorfallberichts und die Einbeziehung unabhängiger Prüfer.

Seit dem letzten Vorfall ist etwas mehr als ein Jahr vergangen - und jetzt ist Google erneut zur schuldigen Symantec-Zertifizierungsstelle zurückgekehrt, um die Einhaltung der Stammzertifizierungsrichtlinie im Chrome-Browser zu überprüfen.

Von Anfang an wurde klar, dass sich die Situation im Unternehmen nicht wesentlich verbessert hatte. Zu Beginn der Untersuchung wurde ein erster Satz von 127 Zertifikaten in Betracht gezogen, der jedoch angesichts der aufgedeckten Verstöße auf 30.000 Stück erweitert wurde, die über mehrere Jahre ausgestellt wurden.

Google formulierte die Ergebnisse der Untersuchung wie folgt: „Wir haben in den letzten Jahren kein Vertrauen mehr in die Regeln und Praktiken für die Ausstellung von Symantec-Zertifikaten. Um das Vertrauen und die Sicherheit unserer Benutzer wiederherzustellen, bieten wir die folgenden Schritte an:

  • Reduzieren Sie die anerkannte Gültigkeitsdauer neu ausgestellter Symantec-Zertifikate auf höchstens neun Monate, um die Auswirkungen einer weiteren fehlerhaften Ausstellung auf Google Chrome-Nutzer zu minimieren.
  • Eine schrittweise Verweigerung des Vertrauens in mehrere Editionen von Google Chrome für alle zuvor ausgestellten Symantec-Zertifikate, die erneut bestätigt und ersetzt werden müssen.
  • Weigerung, den Status von EV (Extended Validation) für von Symantec ausgestellte Zertifikate anzuerkennen, bis die Community von den Regeln und Praktiken von Symantec überzeugt ist, jedoch nicht früher als nach einem Jahr. "

Die schrittweise Verkürzung der anerkannten Gültigkeitsdauer neu ausgestellter Symantec-Zertifikate soll wie folgt umgesetzt werden:

  • Chrome 59 (Dev, Beta, Stable): 33 Monate (1023 Tage)
  • Chrome 60 (Dev, Beta, Stable): 27 Monate (837 Tage)
  • Chrome 61 (Dev, Beta, Stable): 21 Monate (651 Tage)
  • Chrome 62 (Dev, Beta, Stable): 15 Monate (465 Tage)
  • Chrome 63 (Dev, Beta): 9 Monate (279 Tage)
  • Chrome 63 (stabil): 15 Monate (465 Tage) - Diese Version erscheint in den Weihnachtsferien, wenn viele Unternehmen ein Wochenende haben
  • Chrome 64 (Dev, Beta, Stable): 9 Monate (279 Tage)

Laut Google werden diese Maßnahmen "sicherstellen, dass das Garantielevel von Symantec-Zertifikaten den Erwartungen von Google Chrome und des Ökosystems entspricht und dass Risiken durch vergangene und mögliche zukünftige Verstöße so gering wie möglich gehalten werden."

Sie müssen verstehen, dass Symantec eine der größten Zertifizierungsstellen im Internet ist. Im Januar 2015 wurden mehr als 30% aller Zertifikate im Internet genau von diesen Zentren ausgestellt. Zwar gab es seitdem erhebliche Änderungen. Jetzt ist Comodo mit 42,7% führend, während der Anteil von Symantec auf 15,4% gesunken ist .

Referenzen:
Symantec-Stammzertifikate

Source: https://habr.com/ru/post/de402533/

More articles:


All Articles