Indem die aktuelle Nightly-Version 63 von Firefox TLS-Zertifikate von Symantec als nicht vertrauenswürdig einstuft, baut Mozilla sein Misstrauen gegenüber Zertifizierungsstelle (CA) weiter aus. Dies geht aus Einträgen auf der Mozilla-Webseite Bugzilla hervor.

Der Grund dafür ist, dass sich Symantec beim Ausstellen von Zertifikaten in der Vergangenheit nicht immer an die auf Vertrauen fußenden Spielregeln gehalten hat. So wurden unter anderem mehrfach unberechtigterweise Zertifikate auf google.com ausgestellt. Im eigenen Security-Blog kündigte Mozilla den nun erfolgten Schritt bereits im Juli an.

Wird eine Webseite mit einem TLS-Zertifikat von Symantec besucht, warnt eine Meldung davor, dass Angreifer Kreditkarten-Daten oder Passwörter mitschneiden könnten. Firefox-Nutzer sammeln in einem Bugzilla-Beitrag hiervon betroffene Webseiten.

Webseiten mit Zertifikaten von beispielsweise Equifax, Geotrust, RapidSSL, Thawte und Versign sind davon ebenfalls betroffen, da Symantec diese über die Jahre aufgekauft hat. Web-Admins sollten, um Seitenbesucher nicht zu verunsichern, betroffene Zertifikate austauschen, wofür Digicert ein kostenloses Austauschprogramm anbietet.

2017 hat Symantec die Sparte für 950 Millionen US-Dollar an Digicert verkauft und seinen Rückzug als Zertifizierungsstelle bekanntgegeben. Chrome misstraut TLS-Zertifikaten von Symantecebenfalls und auch Apple schenkt der CA seit Anfang August kein Vertrauen mehr.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE