Firefox: Warnung bei TLS-Zertifikaten von Symantec

Michael Schäfer 40 Kommentare
Firefox: Warnung bei TLS-Zertifikaten von Symantec
Bild: 27707 | CC0 1.0

Die Entwickler von Firefox gehen immer rigoroser gegen von Symantec ausgestellte TLS-Zertifikate vor. In der aktuellen Nightly-Version 63 des Webbrowsers werden diese als nicht vertrauenswürdig eingestuft. Damit vollziehen die Entwickler einen bereits im Juli dieses Jahres angekündigten Schritt.

Dies hat vor allem auf Internet-Präsenzen Einfluss, welche in der Vergangenheit ihre Zertifikate über das Sicherheitsunternehmen bezogen haben. Ruft der Nutzer eine Seite mit einem entsprechenden Zertifikat auf, erhält dieser eine Warnmeldung, dass die Verbindung unsicher sei und Angreifer über diese an Passwörter oder Kreditkarten-Daten gelangen können. Die Liste der betroffenen Websites wird in einem dafür eingerichteten Bugzilla-Beitrag immer länger, prominente Betroffene sind dabei unter anderem PayPal, Mc Donalds und in Deutschland die Deutsche Bahn.

Warnung ab Oktober für alle Nutzer

Bisher werden nur Nutzer des aktuellen Nightly-Zweiges auf den Zustand aufmerksam gemacht, mit dem Erscheinen der finalen Version von Firefox 63 am 23. Oktober 2018 werden alle Nutzer eine entsprechende Meldung erhalten.

Vertrauen schon länger gestört

Das Misstrauen seitens der Mozilla-Foundation gegenüber Symantec rührt aus der Tatsache, dass Symantec in der Vergangenheit nicht selten leichtfertig mit der Vergabe entsprechender Zertifikate umgegangen ist und sich nicht immer an die in dem Bereich geltenden Regeln gehalten haben soll. Bereits im März 2017 hatte Google aufgrund der Vergabepraxis der Zertifizierungsstellen (CA) von Symantec gedroht, im eigenen Chrome-Browser Extended-Validation-Zertifikate von Symantec als weniger sicher einstufen zu wollen. Grund sollen hier 30.000 nicht korrekt ausgestellte Zertifikate gewesen sein. 2015 soll der Anbieter von Antiviren-Software dazu ein falsches Zertifikat für google.com ausgestellt haben.

Auch wenn Symantec 2017 seinen Rückzug als Certificate Authority (CA) bekanntgegeben und den Zertifizierungsdienst für 950 Millionen US-Dollar an den Konkurrenten DigiCert verkauft hatte, bleibt das Misstrauen gegenüber vorher ausgestellten Zertifikaten groß. So schenkt auch Apple seit Anfang des Monats entsprechenden Zertifikaten kein Vertrauen mehr.