[Wornat1959]

Ich hab mal etwas rumgesucht zum "schwerwiegenden" Fehler von Symantec.

Zitat:

Certificate Transparency: Google setzt Symantec die Pistole auf die Brust

29.10.2015 17:19 Uhr Fabian A. Scherschel

Symantec hatte zu Testzwecken Zertifikate auf fremde Domains ausgestellt. Als Reaktion will Google nun Symantec (beziehungsweise Verisign) dazu zwingen, Googles Sicherheitstechnik Certificate Transparency zu unterstützen.

Google macht Ernst: Die Firma will Symantec ab Mitte nächsten Jahres zwingen, ihr Certificate-Transparency-Modell zu unterstützen. Setze Symantec die Vorgaben nicht um, wolle man Chrome- und Android-Nutzern beim Antreffen von Symantec-Zertifikaten Fehlermeldungen anzeigen oder diese eventuell überhaupt nicht mehr akzeptieren. Diese offene Drohung wird vor allem Zertifikate betreffen, die von Verisign ausgestellt wurden. Symantec hatte 2010 die Zertifikats-Sparte von Verisign aufgekauft.

Googles Ultimatum

Den Stein ins Rollen brachten Zertifikate, die Symantec auf die Google-Domain ausgestellt hatte – um intern Tests durchzuführen, wie man betonte. Google hatte das entdeckt und Symantec darauf hingewiesen, die dann eine Untersuchung durchgeführt hatten. Jetzt hat Google allerdings entdeckt, dass Symantec (beziehungsweise Verisign) viel mehr Zertifikate für die Domains anderer Firmen ausgestellt hatte, als zuerst gedacht. Google nimmt das nun zum Anlass, Symantec zur Verwendung von Certificate Transparency zu zwingen.

Certificate Transparency ist ein von Google-initiiertes Projekt, das von dem Konzern momentan aktiv vorangetrieben wird. Es soll sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden.

Das ist ein inherentes Problem der SSL/TLS-Infrastruktur, da jede CA der ein Browser vertraut, Zertifikate für eine beliebige Domain ausstellen kann. So konnte Symantec ein gültiges Zertifikat für google.com ausstellen, obwohl es für diese Domain bereits ein legitimes Zertifikat von Googles eigener CA gibt. Browser hätten das Symantec-Zertifikat trotzdem anerkannt, da sie in der Regel nur prüfen, ob sie der ausstellenden CA vertrauen, nicht ob diese überhaupt Zertifikate für die Domain ausstellen darf.

Zertifikatspolizei

Wenn es nach Googles Wünschen geht, sollen nun alle CAs alle Zertifikate, die sie ausstellen, in ein kryptografisch abgesichertes Log eintragen. Aus diesem Log kann man im Nachhinein nichts mehr entfernen, sondern nur Einträge hinzufügen. Wenn Firmen nun, wie Google es tut, diese Logs nach Zertifikaten für eigene Domains absuchen, fliegen solche missbräuchlich ausgestellten Zertifikate auf. Dies verhindert allerdings nicht, dass Browser diesen Zertifikaten weiterhin vertrauen. Ein Ansatz, der in diese Richtung geht, ist Certificate Pinning – ausführlich erklärt im Artikel "Festgenagelte Zertifikate" aus c't 23/15.

Googles Chrome-Browser erzwingt Certificate Transparency bereits bei allen Extended-Validation-Zertifikaten, die nach dem 1. Januar 2015 ausgestellt wurden. Nun sieht es so aus, als will Google das Fehlverhalten von Symantec dazu nutzen, auch bei herkömmlichen Zertifikaten einen weiteren Schritt in diese Richtung zu gehen. (fab)

Quelle: heise.de

Das war so um Herbst 2015 rum und stellt den Ausgangspunkt wohl dar. Danach gab es weitere Probleme zwischen Google und Symantec.
Nun ich brauche keine Google-Polizei ... wie man zu Symantec steht sollte nicht Google entscheiden.

Noch zum Ausmaß:

Zitat:

Das Skript, das Arkadiy Tetelman gebaut hat um eine Million der (laut Alexa-Ranking) meistbesuchten Seiten im Netz nach Symantec-Zertifikaten zu durchsuchen, lief elf Stunden und fand insgesamt 11.510 Domains, die im April Fehler produzieren werden. Weitere 91.627 Domains werden mit dem Chrome-Update im Oktober Warnmeldungen auslösen.

Quelle: heise.de