Google hat jetzt drastische Maßnahmen gegen Symantec angekündigt. Das könnte die Existenz von Symantec bedrohen, denn im Lauf einiger Monate könnten jetzt auch alle Symantec-Zertifikate ungültig werden.
Symantec darf zwar immer noch neue Zertifikate ausstellen, diese dürfen aber nur noch neun Monate gültig sein. Die teuren und daher bei Zertifizierungsstellen als Brot-und-Butter-Versionen besonders beliebten Extended-Validation-Zertifikate darf Symantec ab sofort überhaupt nicht mehr ausstellen, damit sind die bestehenden Extended-Validation-Zertifikate de facto wertlos geworden.
Symantec verkauft seine Zertifikate unter diversen Produktnamen, auch zu Symantec gehörende Marken wie Thawte, Geotrust oder Verisign sind von Googles Maßnahmen betroffen.
Der Hintergrund
Nach Untersuchungen von Google und Mozilla stellte sich heraus, dass insgesamt vier Firmen Kontrolle über die Infrastruktur von Symantec hatten. Sie konnten Zertifikate ausstellen und wurden dabei offenbar über Jahre hinweg nicht ausreichend kontrolliert.
Von diesen vier Unternehmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt. Allerdings ist es technisch nicht feststellbar, welche Zertifikate im Einzelnen davon betroffen sind, weil sie mit anderen von Symantec ausgestellten Zertifikaten identisch sind. Deshalb besteht auch keine Möglichkeit, nur genau diesen Zertifikaten das Vertrauen zu entziehen.
Zwangsbeglückung macht SSL zum Hassobjekt
Dass die eigentlichen Nutzer, also die Seitenbetreiber und ihre Besucher, die schon durch die an Nötigung grenzenden „Zertifikatswarnungen“ fast aller modernen Browser genervt sind und so gezwungen werden, sich andere Zertifikate zu besorgen, zeigt auch dieses Vorgehen von Google, dass die Mächtigen der SSL-Infrastruktur hier auftreten wie Despoten, denen das Wohlergehen der anderen offensichtlich am Arm vorbeigeht.
Es gibt sicher auch Wege, solche Probleme nicht auf dem Rücken der immerhin für die Zertifikate zahlenden Seitenbetreiber zu regeln, und nicht gleich betroffene Seiten als unseriös oder gefährlich zu bezeichnen und den Aufruf für den Durchschnitts-Surfer quasi unmöglich zu machen. Und wenn nicht, dann müssen solche Wege eben geschaffen und nicht den Seitenbetreibern das Messer auf die Brust gesetzt werden!