Zwischen der Zertifizierungsstelle von Symantec und Google brodelt es schon seit längerer Zeit, und schon bald könnte es zu einer Eskalation zwischen den beiden kommen: Das Chrome-Team hat angekündigt, dass man den Zertifikaten des Unternehmens langfristig das Vertrauen entziehen möchte und schon jetzt damit beginnen wird, diese herunterzustufen und schrittweise immer weiter abzuwerten.
Symantec ist nicht nur ein großer Hersteller von Sicherheitssoftware für Privatanwender, die bei Kunden gleichermaßen beliebt als auch verhasst ist, sondern betreibt auch die mit Abstand größte Zertifizierungsstelle für Webseiten im Internet. Laut Statistiken hat das Unternehmen einen Marktanteil von ganzen 40 Prozent und bietet damit eine wichtige Grundlage für die (vermeintliche) Sicherheit im Internet.
Jetzt hat das Chrome-Team angekündigt, dass man den von Symantec ausgestellten Zertifikaten auf lange Sicht das Vertrauen entziehen möchte. Das kann aber natürlich nicht von heute auf morgen geschehen, denn sonst würden viele Webseiten im schlimmsten Falle gar nicht mehr angezeigt werden oder problemlos nutzbar sein. Stattdessen beginnt man mit der nächsten Version von Chrome mit einem schrittweisen Entzug, mit dem man die Webseiten-Betreiber zu einem Wechsel bringen möchte.
Ab Chrome 59 vertraut der Browser den Zertifikaten nur noch für höchstens 33 Monate und wird dann mit jeder Version etwas nach unten sinken, bis man dann bei der Version 64 bei nur noch 9 Monaten angekommen ist. Wie es anschließend weitergeht, wird wohl auch davon abhängen, wie Symantec auf Googles Vorstoß reagiert oder ob sich die Webseiten-Betreiber tatsächlich zu einem Wechsel verleiten lassen. Zumindest hat man aber schon einmal den Gedanken laut ausgesprochen, den Zertifikaten das Vertrauen komplett zu entziehen.
Googles Chrome-Entwickler haben Symantec aber natürlich nicht einfach als Bauernopfer ausgewählt, sondern haben einen guten Grund für diese Schritte: Das Unternehmen soll über die vergangenen Jahre mehr als 30.000 Zertifikate ausgestellt haben, die nicht den Richtlinien entsprechen und hat somit das Vertrauen verspielt. An dieser Vorgehensweise soll man auch nach einer ersten Warnung von Google vor einigen Jahren nichts geändert haben.
Der Auslöser der Untersuchungen durch das Chrome-Team war die Tatsache, dass Symantec im Jahr 2015 ein Zertifikat für google.com ausgestellt hat, ohne dass das Unternehmen dazu beauftragt wurde. Schon damals hatte Google angekündigt, sich Schritte vorzubehalten und das Ganze zu untersuchen. Angesichts der Dominanz von Chrome auf dem Browser-Markt kann das für das Geschäftsmodell von Symantec schon bedrohlich werden. Wir dürfen gespannt sein, wie es weitergeht.
