Schon seit einiger Zeit liegen Symantec und Google im Clinch [1], was die von Symantecs CAs ausgestellten Zertifikate angeht. Denn – so der Vorwurf von Google – Symantec beziehungsweise CAs im Namen von Symantec stellten eigenmächtig Zertifikate für Domains aus, für die es garnicht zuständig sei. Darunter hätten sich auch Zertifikate befunden, die im Namen Googles veröffentlicht worden seien. Während sich die Anzahl derartiger ungültiger Zertifikate zunächst im niedrigen dreistelligen Bereich befunden hatten, sollen nun mehr als 30.000 solcher Zertifikate betroffen sein [2].

Nun zieht Google offenbar die Konsequenzen und stuft in seinem Chrome-Browser Symantecs Zertifikate herab. Sie sollen sich künftig nicht mehr zur "Extended Validation" (EV) nutzen lassen, bei der der Name des Zertifikatinhabers in der Adressleiste erscheint. Ferner plane Google, alle Symantec-Zertifikate nach und nach für ungültig zu erklären. Hierzu solle die Gültigkeitsdauer der Zertifikate mit jeder neuen Chrome-Version herabgesetzt werden, bis sie letztlich ungültig geworden seien.

Alle Zertifikate auf einen Schlag herauszuschmeißen hätte derweil drastische Folgen für die Nutzer, da Symantec immerhin für knapp ein Drittel aller Online-Zertifikate verantwortlich zeichne. Damit wäre keine sichere Verbindung mehr zu zahlreichen Webseiten möglich. Auch möchte Google Webseitenbetreibern damit genügend Zeit geben, sich anzupassen – sprich: auf andere Certificate Authorities umzuschwenken.


dr

[1] http://news.softpedia.com/news/three-symantec-employees-fired-for-issuing-fake-google-com-ssl-certificates-492190.shtml
[2] https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs