myGully.com - [Software] Kommentar zu SSL-Zertifikaten: Googles Rachefeldzug gegen Symantec

myGully.com (https://mygully.com/index.php)

- News (https://mygully.com/forumdisplay.php?f=390)

- - [Software] Kommentar zu SSL-Zertifikaten: Googles Rachefeldzug gegen Symantec (https://mygully.com/showthread.php?t=5035447)

Kommentar zu SSL-Zertifikaten: Googles Rachefeldzug gegen Symantec

Zitat:

Kommentar zu SSL-Zertifikaten: Googles Rachefeldzug gegen Symantec

23.02.2018 07:00 Uhr Fabian A. Scherschel

Google missbraucht den Chrome-Browser für einen Rachefeldzug gegen Symantec. So sieht heise-online-Redakteur Fabian Scherschel die Google-Entscheidung, den Symantec-SSL-Zertifikaten kollektiv das Vertrauen zu entziehen.

Wehe dem, der sich Google in den Weg stellt. Der Riesenkonzern kontrolliert nicht nur die täglichen Surfgewohnheiten von Milliarden Nutzern, ihm gehört auch der beliebteste Browser. Diesen geballten Einfluss setzt Google nun ein, um Symantec aus dem SSL-Zertifikatsgeschäft zu schmeißen – und das ist nichts anderes als Machtmissbrauch.

Vor knapp drei Jahren wurde bekannt, dass Symantec unberechtigterweise ein Zertifikat für die Domain google.com ausgestellt hatte. Google war dem Antiviren-Hersteller mit Hilfe des eigenen Chrome-Browsers auf die Schliche gekommen und entdeckte später nach eigenen Angaben weitere 30.000 Zertifikate von Symantec, die nicht den geltenden CA-Standards entsprachen. Nun macht Google der Firma mittels Chrome den Garaus: Ab April entscheidet man für die eigenen Nutzer unilateral, dass die Zertifikate von Symantec und deren CAs nicht mehr vertrauenswürdig sind.

Game Over für Symantec

Damit hat Google im Alleingang einen gesamten Geschäftsbereich einer Firma zunichte gemacht. Wegen eines einzigen Fehlers, der, so die Aussagen beider Parteien, zu keinem Zeitpunkt Nutzer konkret gefährdete. Zeigte sich Symantec zuerst noch kampfbereit, zogen die Verantwortlichen schon im August 2017 die Konsequenzen aus dem Streit mit Google und verkauften die komplette Zertifikatssparte der Firma. Game over.

Als Browser-Marktführer und de facto Ultimativ-Suchmaschine konzentriert Google weitreichende Macht über die Surfgewohnheiten eines Großteils der Internet-Nutzergemeinde an einem Punkt. Wehe dem, der da nicht spurt und Unfug mit einem Google-Zertifikat treibt. Ob Google ebenso reagiert hätte, wenn Chrome ein falsch ausgestelltes Zertifikat für microsoft.com entdeckt hätte? Man darf es bezweifeln.

Der Rachefeldzug gegen Symantec darf ebenso als eindeutiger Warnschuss gegen andere Internet-Konzerne gewertet werden. Die Nachricht lautet: Legt euch mit uns an und wir sorgen dafür, dass das halbe Internet einen weiten Bogen um eure Webseiten macht! (fab)

Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Blödsinniger Beitrag/Kommentar.
Google macht doch alles richtig.. Nicht wegen eines einzelnen Fehlers von Symantec, sondern wegen über 30000 Fehlern.
Jeder der halbwegs weiß, wie das CA System funktioniert, muss an dieser Stelle froh sein, dass Google reagiert (hat) und das nun auch so macht. Symatec hat das Vertrauen von Millionen Internetnutzern leichtfertig aufs Spiel gesetzt, hat das komplette Sicherheitssystem beinahe zerstört. Wieso Google da nun "böse" sein soll, ergibt absolut keinen Sinn.

Ob man Symantec weiter vertrauen will entscheidet also jetzt Google und nicht der Nutzer?

Ganz zu schweigen von den Auswirkungen. Zu Symantec gehören Zertifikate von Thawte, Verisign, Equifax, Geotrust und RapidSSL und weiteren die alle ausgetauscht werden müssen weil Google das so entschieden hat? LOL.

Sorry, aber ich seh darin klare Bevormundung. Wer Symantec nicht vertrauen will sollte das selber entscheiden dürfen alleine und nicht von Google dazu genötigt werden.

Ich hab mal etwas rumgesucht zum "schwerwiegenden" Fehler von Symantec.

Zitat:

Certificate Transparency: Google setzt Symantec die Pistole auf die Brust

29.10.2015 17:19 Uhr Fabian A. Scherschel

Symantec hatte zu Testzwecken Zertifikate auf fremde Domains ausgestellt. Als Reaktion will Google nun Symantec (beziehungsweise Verisign) dazu zwingen, Googles Sicherheitstechnik Certificate Transparency zu unterstützen.

Google macht Ernst: Die Firma will Symantec ab Mitte nächsten Jahres zwingen, ihr Certificate-Transparency-Modell zu unterstützen. Setze Symantec die Vorgaben nicht um, wolle man Chrome- und Android-Nutzern beim Antreffen von Symantec-Zertifikaten Fehlermeldungen anzeigen oder diese eventuell überhaupt nicht mehr akzeptieren. Diese offene Drohung wird vor allem Zertifikate betreffen, die von Verisign ausgestellt wurden. Symantec hatte 2010 die Zertifikats-Sparte von Verisign aufgekauft.

Googles Ultimatum

Den Stein ins Rollen brachten Zertifikate, [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] – um intern Tests durchzuführen, wie man betonte. Google hatte das entdeckt und Symantec darauf hingewiesen, die dann eine Untersuchung durchgeführt hatten. Jetzt hat Google allerdings entdeckt, dass Symantec (beziehungsweise Verisign) viel mehr Zertifikate für die Domains anderer Firmen ausgestellt hatte, als zuerst gedacht. Google nimmt das nun zum Anlass, Symantec zur Verwendung von Certificate Transparency zu zwingen.

Certificate Transparency ist ein von Google-initiiertes Projekt, das von dem Konzern momentan aktiv vorangetrieben wird. Es soll sichtbar machen, wenn CAs Zertifikate auf Domains ausstellen, die bereits von anderen CAs mit Zertifikaten versorgt werden.

Das ist ein inherentes Problem der SSL/TLS-Infrastruktur, da jede CA der ein Browser vertraut, Zertifikate für eine beliebige Domain ausstellen kann. So konnte Symantec ein gültiges Zertifikat für google.com ausstellen, obwohl es für diese Domain bereits ein legitimes Zertifikat von Googles eigener CA gibt. Browser hätten das Symantec-Zertifikat trotzdem anerkannt, da sie in der Regel nur prüfen, ob sie der ausstellenden CA vertrauen, nicht ob diese überhaupt Zertifikate für die Domain ausstellen darf.

Zertifikatspolizei

Wenn es nach Googles Wünschen geht, sollen nun alle CAs alle Zertifikate, die sie ausstellen, in ein kryptografisch abgesichertes Log eintragen. Aus diesem Log kann man im Nachhinein nichts mehr entfernen, sondern nur Einträge hinzufügen. Wenn Firmen nun, wie Google es tut, diese Logs nach Zertifikaten für eigene Domains absuchen, fliegen solche missbräuchlich ausgestellten Zertifikate auf. Dies verhindert allerdings nicht, dass Browser diesen Zertifikaten weiterhin vertrauen. Ein Ansatz, der in diese Richtung geht, ist Certificate Pinning – ausführlich erklärt im Artikel "Festgenagelte Zertifikate" aus c't 23/15.

Googles Chrome-Browser erzwingt Certificate Transparency bereits bei allen Extended-Validation-Zertifikaten, die nach dem 1. Januar 2015 ausgestellt wurden. Nun sieht es so aus, als will Google das Fehlverhalten von Symantec dazu nutzen, auch bei herkömmlichen Zertifikaten einen weiteren Schritt in diese Richtung zu gehen. (fab)

Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Das war so um Herbst 2015 rum und stellt den Ausgangspunkt wohl dar. Danach gab es weitere Probleme zwischen Google und Symantec.
Nun ich brauche keine Google-Polizei ... wie man zu Symantec steht sollte nicht Google entscheiden.

Noch zum Ausmaß:

Zitat:

Das Skript, das Arkadiy Tetelman gebaut hat um eine Million der (laut Alexa-Ranking) meistbesuchten Seiten im Netz nach Symantec-Zertifikaten zu durchsuchen, lief elf Stunden und fand insgesamt 11.510 Domains, die im April Fehler produzieren werden. Weitere 91.627 Domains werden mit dem Chrome-Update im Oktober Warnmeldungen auslösen.

Quelle: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]

Der Browser User kann symantec weiterhin vertrauen wenn er das möchte. Der User bekommt, wenn er mit Chrome oder Mozilla based Browsern auf eine Seite trifft, die mit symantec cert abgesichert ist, den Hinweis dass das cert nicht vertrauenswürdig ist und wird vor die Wahl gestellt ob er der Seite trotzdem vertrauen möchte. Klickt er ja geht's weiter.

Zunächst einmal hat Thorasan bereits alles dazu erwähnt. Ein solches eklatantes und dilettantisches Fehlverhalten darf nicht geduldet werden. Es wäre ein leichtes mit den falschen Zertifikaten Schindluder zu treiben. Zusätzlich sind wie bereits angemerkt 30000 Fehler doch mehr als einer.

Heise.de ist leider keine vernünftige Quelle mehr, was auch in den Kommentaren gut nachzulesen ist. Ein Beispiel dafür ist der Meltdown/Spectre Artikel, indem behauptet wurde das AMD nun doch betroffen sei, obwohl sie von Anfang die Aussage getroffen haben, dass sie von Spectre betroffen sind.

Zitat:

Zitat von nichdiemama (Beitrag 31507048)

Du bist das Beispiel für Leute die SSL Zertifikate NICHT verstanden haben. Durch den Entzug steht eine CA von Symantec auf einer Stufe wie ein Man-in-the-Middle Angreifer. Zumindest bei dem von dir beschrieben Vorgehen. Man kann sicher manuell die CA von Symantec in den Truststore des Browsers importieren...nur wozu? Symantec IST Mist. Das CA-System ist schon Broken genug und basiert einzig und alleine auf korrektem Verhalten der CAs. Da ist nichts mit "ein bisschen falsch machen". Tot oder nicht, und so läufts bei einer CA. Entweder man arbeitet korrekt oder man missbraucht seine Stellung. Google machts einfach richtig

Zitat:

Zitat von csesraven (Beitrag 31509237)

Du bist das Beispiel für Leute die SSL Zertifikate NICHT verstanden haben. Durch den Entzug steht eine CA von Symantec auf einer Stufe wie ein Man-in-the-Middle Angreifer....

Glaub mir, ich habe SSL im Allgemeinen und die spezielle Problematik um Symantec ziemlich gut verstanden :)
Mein Post bezog sich auf

Zitat:

Zitat von Wornat1959 (Beitrag 31506121)

Ob man Symantec weiter vertrauen will entscheidet also jetzt Google und nicht der Nutzer?
.....
Sorry, aber ich seh darin klare Bevormundung. Wer Symantec nicht vertrauen will sollte das selber entscheiden dürfen alleine und nicht von Google dazu genötigt werden.

das hätte ich in Form eines Zitats deutlich machen sollen, sorry.
Die Vorgehensweise von Google und Mozilla findet meine volle Zustimmung. Symantec hat mehrfach gezeigt dass sie der [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...] waren. Dass es sich dabei um Bevormundung handelt sehe ich nicht so, weil der User wie von mir beschrieben "eine Wahl" hat.
Was den Autor reitet einen solchen Artikel rauszurotzen verstehe ich auch nicht..Vielleicht schlecht getarnte Satire?

Ich schreib jetzt nicht weiter hierzu. Private Meinungen zu Symantec sind nur eine Seite der Medallie. Nur soviel noch.

Etwa Hunderttausend Domainseiten müssen ihre Zertifikate austauschen. Und das sind nur Domains gewesen die zu den häufigst genutzte gehörten. Entspricht etwa 10% der 1 Millionen getesteten Seiten.
Browsernutzer bekommen Fehler oder Warnungen und müssen komplizierte Aktionen durchführen wenn sie die noch nicht umgestellten Webseiten weiter nutzen wollen.

Google tanzt hier gewaltig auf der Nase von Benutzern rum und erzeugt ein Riesenchaos.
Polizei, Richter und Henker in Personalunion spielt Google.

Das ist doch Blödsinn wornat. Genau das ist es, was du nicht verstehst: Statt Google als schuldigen hinzustellen, musst du dich einfach mal mit dem verursachten Problem befassen.. Zum einen ist es nicht nur google, die die Zertifikate nicht weiter nutzen, sondern auch Mozilla. Die erwähnst du nicht?
Zum anderen.. 99% der Nutzer wissen nicht, wie das System funktioniert und/oder dass es überhaupt existiert. Diese Menschen sind aber dummerweise jene, die auf genau diesen Seiten unterwegs sind. Jeder verantwortungsbewusste Admin ersetzt unsichere Zertifikate sofort und ohne zu zucken, um seine User zu schützen. Mir käme es nie in den Sinn, wissentlich eine Sicherheitslücke an die Nutzer weiter zu geben. Und genau das ist es, was Symantec hier gemacht hat. Eine Sicherheitslücke an die User weiter gegeben. Und das wiederholt.
Dass Du nun sagst, tausende Seiten hätten ein Problem damit.. Ist nciht die Schuld von google. Sondern die von Symantec. Denn die haben die Sicherheitslücke erst erschaffen.

Würdest du auch noch auf dem bösen google rumhacken, wenn die Lücken genutzt worden wären? Wenn auf tausenden Seiten plötzlich Millionen, Milliarden von Systemen infiziert worden wären? Oder wäre dann doch plötzlich der verantwortlich, der den Fehler auch produziert hat?

Google/Alphabet und Mozilla reagieren auf eine potentielle Schwachstelle, die nie hätte auftauchen dürfen. Bei allem was man google sonst vorwerfen könnte, hier haben sie alles richtig gemacht.

Edit: Eine private Meinung zu oder über Symantec habe ich nicht wirklich. Ich sehe es vordergründig aus Sicht eines Admins und IT'lers. Privat habe ich nichts gegen die Firma, abgesehen davon, dass sie einen potentiellen Supergau erzeugt haben.

Ich boykottiere Google soweit es geht. Es gibt Dinge wie eine Nachrichtenseite, da braucht man kein HTTPS. Ich selbst habe einen Webserver, auf dem ich nur Dinge kommentiere. Da brauche ich kein HTTPS. Ohne Zertifikat motze vor allem die Browser, sodass ich lieber auf HTTP setze. Bei FTP oder einer wichtigen Formularübermittlung ist HTTPS sinnvoll, aber lange nicht bei allem. Mein Server hat einen P4@2,53Ghz. Da läuft noch ein squid und ein FTP. Da brauche ich nicht noch HTTPS.

Ein neuer Beleg dafür, dass symantec es einfach nicht im Griff hat: [Link nur für registrierte und freigeschaltete Mitglieder sichtbar. Jetzt registrieren...]