Google verbannt Camerfirma

Das von Ryan Sleevi, Staff Software Engineer Google, ausgesprochene Verbot der digitalen Zertifikate der spanischen Zertifizierungsstelle (CA) Camerfirma wird mit dem Start von Chrome 90 in Kraft treten, dessen Veröffentlichung für Mitte April 2021 geplant ist. Nach dem Start von Chrome 90 werden alle Websites, die TLS-Zertifikate von Camerfirma verwenden, um ihren HTTPS-Verkehr abzusichern, einen Fehler anzeigen und in Zukunft nicht mehr in Chrome geladen.

Die Entscheidung, Camerfirma-Zertifikate zu verbieten, wurde am Montag bekannt gegeben, nachdem dem Unternehmen mehr als sechs Wochen Zeit gegeben wurde, um eine Reihe von 26 Vorfällen im Zeitraum von 2017 bis 2021 im Zusammenhang mit seinem Zertifikatsausstellungsprozess zu erklären.

Die Vorfälle, die Mozilla detailliert beschreibt, reichen bis März 2017 zurück. Zwei der jüngsten haben sich im Januar 2021 ereignet, nachdem das Unternehmen bereits im Dezember 2020 darauf aufmerksam gemacht wurde, dass es untersucht wird. Die Vorfälle zeichnen laut Mozilla das Bild eines Unternehmens, das bei der Ausstellung von TLS-Zertifikaten für Website-Betreiber, Software-Hersteller und Systemadministratoren in Unternehmen die branchenüblichen Qualitäts- und Sicherheitsstandards nicht eingehalten hat.

Eric Mill, Lead Product Manager, Chrome Security, gab zu diesem Vorfall am 29. Januar 2021 folgende Klarstellung ab: „Chrome akzeptiert keine Camerfirma-Zertifikate mehr, die speziell für die *TLS-Server-Authentifizierung* für Websites verwendet werden. Unsere geplante Aktion bezieht sich auf die Zertifikate, die Chrome verwendet und verifiziert, die nur für die TLS-Server-Authentifizierung verwendet werden. Dies umfasst alle Arten von Zertifikaten, die in Chrome für die TLS-Serverauthentifizierung verwendet werden, einschließlich Qualified Website Authentication Certificates (QWACs) und Zertifikate, die zur Einhaltung der überarbeiteten Zahlungsdiensterichtlinie (PSD2) verwendet werden. Andere Anwendungsfälle, wie TLS-Client-Zertifikate oder die Verwendung von qualifizierten Zertifikaten für digitale Signaturen, werden jedoch nicht abgedeckt.

Um sicherzustellen, dass die Antwort von Chrome umfassend ist, enthält die Liste der betroffenen Roots alle von Camerfirma betriebenen Roots, die technisch in der Lage sind, TLS-Server-Authentifizierungszertifikate auszustellen, auch wenn diese Roots derzeit nicht für die Ausstellung von TLS-Server-Authentifizierungszertifikaten verwendet werden. Bitte beachten Sie jedoch, dass die von uns angekündigten Änderungen für Chrome keinen Einfluss auf die Gültigkeit dieser Roots für andere Arten der Authentifizierung haben, sondern nur auf die aktuelle und zukünftige Verwendung dieser Roots für die TLS-Server-Authentifizierung in Chrome.“

Im Laufe der Jahre haben sich Browser-Hersteller oft zusammengetan, um Zertifizierungsstellen rauszuwerfen, die sich nicht an die Regeln halten. Andere CAs, die in der Vergangenheit aus Chrome verbannt wurden, sind Symantec, DigiNotar und WoSign und deren Tochterunternehmen StartCom. Dies führte dazu, dass Unternehmen wie DigiNotar Konkurs anmeldeten und Symantec sein CA-Geschäft an DigiCert verkaufte, nachdem ihre Zertifikate in modernen Browsern zu Parias wurden.

Zum Zeitpunkt der Erstellung dieses Artikels hat kein anderer Browserhersteller ein ähnliches Verbot von Camerfirma-Zertifikaten angekündigt, aber Branchenexperten erwarten ähnliche Entscheidungen von den anderen drei (Apple, Microsoft und Mozilla) in den kommenden Wochen. Nichtsdestotrotz ist allein das Google-Verbot mehr als genug, um das Geschäft von Camerfirma zu lähmen. Bei einem Marktanteil von etwa 60 bis 70 % ist das Chrome-Verbot de facto ein Todesstoß.