Wieviele Symantec-Zertifikate müssen bis April und Oktober 2018 ausgetauscht werden, weil Google Chrome der gesamten Symantec-Infrastruktur misstraut - etwa 10 Prozent der Alexa-Top-1Mio

08.02.2018 23:47:24, Jürgen Auer, keine Kommentare

Google hatte im letzten Herbst angekündigt, der Zertifikatsinfrastruktur von Symantec schrittweise das Vertrauen zu entziehen. Grund ist, daß über diese Infrastruktur wiederholt Zertifikate ausgestellt wurden, die das Regelwerk für Zertifikate missachteten.

Die Konsequenz: Chrome wird bestimmte Zertifikate als ungültig anzeigen. Obwohl sie technisch eine korrekte Verschlüsselung liefern und noch nicht abgelaufen sind. Aber: Sie basieren auf Root-Zertifikaten, die von Symantec oder einer der Tochterunternehmen stammen. Da es von diesen mit Geotrust, RapidSSL, Thawte und weiteren so einige gibt, betrifft das diverse Websites.

Es gibt zwei Deadlines: Ab Chrome 66 (im April 2018) sollen alle Zertifikate ungültig sein, die vor dem 01.06.2016 ausgestellt worden sind.

Ab Chrome 70 (Oktober 2018) gilt dasselbe für alle Zertifikate, die nach dem 01.06.2016 ausgestellt wurden. Mit Ausnahme einer kleinen Zahl von Zertifikaten, die auf bestimmten Root-Zertifikaten beruhen.

Zu Chrome 66 erschien nun die Alpha-Version. Prompt twitterte ein Nutzer, daß er diverse Seiten mit Fehlern sieht.

https://twitter.com/vvoyer/status/959778910165721089

> I am on Chrome canary (already 66), and A LOT. LOT. of websites are in error.

Daraufhin hat sich Arkadiy Tetelman den Quellcode von Chrome 66 näher angesehen und sich ein Script geschrieben, um zu ermitteln, ob ein Zertifikat einer Website von einem dieser beiden Termine betroffen ist.

Das ließ er über die Alexa-Top-1-Million Websites laufen.
.

Quantifying Untrusted Symantec Certificates

https://arkadiyt.com/2018/02/04/quantifying-untrusted-symantec-certificates/

.
Dort sind die beiden gröbsten Verletzungen von Symantec nochmals aufgeführt:

Im September 2015 wurde bekannt, daß Symantec etwa 2600 gültige Zertifikate für Domains ausgestellt hatte, die die Domainbesitzer nie beantragt hatten. Dabei waren auch Zertifikate für Google-Domains dabei. Eine Folge war, daß Google erzwang, daß alle Symantec-Zertifikate ab dem 01.06.2016 per Certificate Transparency geloggt werden mußten. Deshalb die beiden oben genannten verschiedenen Deadlines.

Im Januar 2017 wurde bekannt, daß über die Symantec-Zertifikatsinfrastruktur weitere über 30.000 Zertifikate über einen mehrjährigen Zeitraum ausgestellt wurden. Auch da, ohne daß klar war, ob die Domaininhaber das wirklich beantragt hatten.

Deshalb gab es im September 2017 einen Blogbeitrag von Google, in dem die beiden obigen Deadlines mitgeteilt wurden.

Chrome’s Plan to Distrust Symantec Certificates

https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html

Die Konsole in Chrome zeigt inzwischen auch eine Warnung an. Das Sternzertifikat *.server-daten.de ist ebenfalls davon betroffen. In wenigen Tagen endet aber die HPKP-Sperre von 30 Tagen, so daß das Zertifikat dann ausgetauscht wird.

Da die Alexa-Liste keine Subdomains enthält, wurde zusätzlich zu domainname.tld immer noch www.domainname.tld gescannt, falls es dafür einen Nameserver-Eintrag gab.

Das Ergebnis: Aus der Million Domains wurden etwa 1,98 Millionen Domains + www. Von den etwa 1,01 Millionen, die TLS unterstützten, werden etwa 10.000 im April ungültig werden. Etwa 90.000 werden im Oktober nicht mehr mit diesem Zertifikat nutzbar sein. Insgesamt betrifft das etwa 10 % aller Top-1M-Domains.

Es gibt beide Domainlisten zum Download:

Bad Chrome 66 im April 2018:

https://raw.githubusercontent.com/arkadiyt/symantec-certificate-checker/master/bad_m66.txt

Bad Chrome 70 im Oktober 2018:

https://raw.githubusercontent.com/arkadiyt/symantec-certificate-checker/master/bad_m70.txt

Wenn man sich aus den beiden Listen die .de-Domains rausfischt und das auf die Domain (ohne www) reduziert, dann sind bis April noch 577 de-Domains betroffen. Darunter axa.de, bvg.de, bundesfinanzministerium.de und bvb.de. Aber auch datev.de und edeka.de. Hinten finden sich noch wetter.de und wiwo.de.

Die Chrome-70-Liste enthält 5233 .de-Domains, da ist u.a. aok.de dabei. Wobei wiederholt auffällt, daß Domains sowohl per http als auch per https erreichbar sind und es keine automatische Weiterleitung von der http- auf die https-Version gibt. Ohne eine solche Weiterleitung ist es jederzeit möglich, daß Nutzer wieder auf der unverschlüsselten Variante landen.

Da allerdings diversen Zertifikatsbesitzern bereits im Januar neue Zertifikate angeboten wurden, dürften diverse Domains bereits umgestellt worden sein. So daß die tatsächliche Zahl betroffener Domains womöglich deutlich höher lag.

Mich wundert etwas, daß noch für April soviele Domains nicht umgestellt haben. Da wird allmählich die Zeit knapp. Ferner zeigt die Liste, daß immer noch etwa die Hälfte der großen Websites nicht verschlüsselt sind.

*
* (wird nicht angezeigt)
Die Erläuterungen zum Datenschutz habe ich gelesen und stimme diesen zu.