Prof. Dr. G. Hellberg EDV Beratung und Softwareengineering seit 1984
Mailadresse fuer Kontaktaufnahme
NewsNews
 
Die Hellberg EDV Beratung ist SuSE Business Partner
 
Professor Hellberg ist Certified Novell InstructorDie Hellberg EDV Beratung ist Novell Business Partner
 
Die Hellberg EDV Beratung ist Microsoft Partner
 
GDATA Software
 
 
News Disclaimer
 
Mozilla verschiebt Firefox-Misstrauen in unsichere Symantec-Zertifikate

15.10.2018

 zur Newsdatenbank home

Mit der kommenden Version 63 sollte Firefox eigentlich den unsicheren TLS-Zertifikaten von Symantec generell nicht mehr vertrauen. Der Browser stufte in der Nightly-Version vom August 2018 die Symantec-Zertifizierungsstelle (Certificate Authority, CA) als nicht vertrauenswürdig ein, und daran sollten sich die anschließende Beta-Version des Browser sowie ab 23. Oktober die fertige Firefox-Version 63 ebenso halten. Wie Mozilla-Entwickler Wayne Thayer mitteilte, wird daraus jedoch vorerst nichts.

2017 hatte Symantec die Sparte an DigiCert verkauft und sein Geschäft mit der Zertifizierungsstelle eingestellt. Betroffene Symantec-Zertifikate (die teils unter den Namen von zugekauften Firmen wie RapidSSL, Equifax, Geotrust, Verisign oder Thawte ausgestellt wurden) können von diesem Unternehmen kostenlos gegen neue DigiCert-Zertifikate getauscht werden. In der Branche hatte Symantec, weil sich die Firma des öfteren nicht an die Regeln beim Vergeben von Zertifikaten hielt, erheblichen Unmut hervorgerufen.

Google sowie Apple entzogen der Symantec-CA aus diesem Grund bereits das Vertrauen. Mozilla wollte bei Firefox ebenfalls nachziehen und der TLS-Verschlüsselung für Webseiten mit Symantec-Zertifikaten das Vertrauen entziehen.

Die Nightly-Version 63 des Browsers blendet beim Besuch solcher Webseiten eine Warnung ein, dass Angreifer bei dieser Verbindung etwa Kreditkartendaten oder Passwörter mitlesen könnten. Die Seiten können Benutzer erst aufrufen, nachdem im Browser eine Ausnahmeregel hinzugefügt wurde. Mozilla will diese Maßnahme jedoch vorerst stoppen wie Wayne Thayer nun in einem Blogbeitrag bekanntgab.

Thayer nennt als Grund für die Entscheidung die Tatsache, dass im Internet noch immer zahlreiche häufig besuchte Webseiten solche unsicheren Zertifikate einsetzten. Es sollen nach Messungen von Mozilla mehr als 1 Prozent der am häufigsten weltweit besuchten eine Million Webseiten sein. Weiter findet er es bedauerlich, dass so viele Webseiten-Admins, womöglich weil sie sich der Lage nicht bewusst seien, bisher nicht tätig geworden sind.

Mozilla halte die Sicherheit der Browser-Benutzer zwar für wichtig, schreibt Thayer, und man sei sich des Risikos, das mit einer Verzögerung des CA-Vertrauensentzugs einhergehe, bewusst. Den negativen Auswirkungen wird dennoch größeres Gewicht beigemessen und daher wird die Änderung auf Firefox 64 verschoben, dessen Beta-Version Mitte Oktober herauskommen soll.

(mt, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE
 
 
 

News - Hellberg EDV - Seminare - Betriebssysteme - Sicherheit und mehr... - AG - FAQs
Nehmen Sie mit uns Kontakt auf.
 
Sonnenweg 7     30171 Hannover     Tel.: 0511 / 288 25 90     Fax: 0511 / 288 25 89