Gilt das Misstrauen von Google Chrome gegenüber SSL-Zertifikaten von Symantec auch für Android

  • Gilt das Misstrauen von Google Chrome gegenüber SSL-Zertifikaten von Symantec auch für Android

    Hallo,

    Google hat bekannt gegeben, dass der Chrome Browser in zwei Schritten SSL-Zertifikaten, die von Symantec ausgestellt wurden, das Misstrauen entziehen:
    - https://blog.qualys.com/ssllabs/2017/09/26/google-and-mozilla-deprecating-existing-symantec-certificates
    - https://www.heise.de/security/meldung/Chrome-entzieht-in-Zukunft-10-Prozent-der-wichtigsten-SSL-Seiten-das-Vertrauen-3962976.html

    Durch die Zertifikatskette hat das auch Auswirkungen auf Zertifikate von GeoTrust, RapidSSL, Thawte und andere.

    Wir verwenden Zertifikate, denen von Google Chrome im September 2018 das Vertrauen entzogen werden soll. Unsere Android Apps kommunizieren über HTTPS mit denen Servern und verwenden dazu Standardmechanismen von Android.

    Weiß jemand, ob Android diesen Zertifikaten in der gleichen Weise das Vertrauten entziehen wird, wie Google Chrome?

    Gruß
    Christoph
  • Bin eigentlich der Meinung das die Zertifikate Zentral Vergeben werden.
    Das würde bedeuten das wenn ein Zertifikat abgelaufen oder zurück genommen wird es egal sein dürfte von welcher Plattform aus man auf die Seite zugreift. Denn das Zertifikat wird online bei den Zertifikatserver abgefragt ob es gültig ist.
    Das ist ja bei unseren Forum auch schon passiert das das Zertifikat abgelaufen war und man konnte egal von welcher Plattform und auch gleich welchen Browser man benutzte nicht auf die Seite ohne eine Ausnahme zu definieren zugreifen.
    Ich würde mich nicht darauf verlassen das es ohne Probleme weiter geht.
    Ein Feedback auf Tipps ist auch schön. :P

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von jogimuc ()

  • Hallo jogimuc,

    Zertifikate werden nicht zentral vergeben. Es gibt verschiedene Zertifikatsaussteller (CA), bei denen man sich Zertifikate ausstellen lassen kann. Webbrowser etc. enthalten Listen, welchen Zertifikatsausstellern sie vertrauen. Diese Listen werden angepasst, wenn es neue vertrauenswürdige Aussteller gibt oder bislang vertrauenswürdige Aussteller gehackt werden, so das Ihnen nicht mehr vertraut werden kann.

    Die Zertifikatsaussteller verwenden ROOT CA Zertifikate um Zertifikate auszustellen. Teilweise haben sie auch mehrere davon. Genau genommen wird die ROOT CA Zertifikaten in den Webbrowsern vertraut. Um das Vertrauen von Zertifikate von ROOT CA Zertifikaten auf damit erstellte Zertifikate abzuleiten, werden Zertifikatsketten (certificate chains) verwendet, die auch mehr als zwei Zertifikate in der Kette enthalten können.

    Google wird nun wahrscheinlich im Chrome Browser dem ROOT CA Zertifikat von Symantec das Vertrauen entziehen, und somit allen Zertifikaten, die direkt oder indirekt durch die Zertifikatskette damit signiert wurden.

    Meine Beschreibung ist grob und möglicherweise in Details nicht ganz korrekt, aber das Prinzip sollte klar werden.

    Das Problem im aktuellen Fall ist, dass die Zertifikate nicht ablaufen, sondern ihnen das Vertrauen entzogen wird. Das bedeutet, dass man sich vorzeitig, vor dem eigentlichen Ablaufdatum neue Zertifikate ausstellen lassen muss, was mit Kosten verbunden ist, wenn man SSL-Zertifkate für Webserver etc. verwendet.
    Ich bin aus den Artikeln, die ich gelesen habe, nicht ganz schlau geworden, ob Symantec den betroffenen Kunden möglicherweise die Zertifikate kostenlos ersetzt. Soweit ich gelesen habe, werden die Zertifikate dann mittlerweile durch DigiCert ausgestellt, die völlig unabhängig von Symantec und somit vertrauenswürdig sind. Wir haben deswegen beim Aussteller unserer Zertifikate nachgefragt, aber ich weiß noch von keiner Rückmeldung.
  • Im Browser sind einige Adressen bei denen die zertifikate auf richtig überprüft werden vor installiet. Und wenn das Zertifikat zurückgenommen wird ist darüber keine Verbindung mehr möglich. Das mit den ca root zertifikaten ist mir bekannt. Wird aber nichts an der Tatsache ändern das ihr wohl einn neues wahrscheinlich auch kostenpflichtiges zertifikat braucht.
    Du hast recht es gibt einige die zertifikate ausstellen und die ich sage mal die großen sind in den Browser schon vorhanden. Deshalb brauchst du auch kein Zertifikat installieren wenn du Eins von denen hast.
    Ein Feedback auf Tipps ist auch schön. :P

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von jogimuc ()