GlobalSign Blog

21 Dez 2017

2017: Das Jahr der großen Veränderungen für Zertifizierungsstellen

Anforderungen, Unruhen und Übernahmen

Was für ein Jahr für Zertifizierungsstellen (CAs)! Das Jahr begann mit der Frist vom 1. Januar für das Auslaufen von SHA-1-Zertifikaten. Eine Umstellung auf SHA-2 war nun endgültig erforderlich. Danach verabschiedete das CA/Browser Forum Ballot 193, durch das die maximale Gültigkeitsdauer von SSL/TLS-Zertifikaten auf zwei Jahre reduziert wurde. Und wir erlebten während des ganzen Jahres massive Marktunruhen. In diesem Blog werde ich dieses verrückte Jahr Revue passieren lassen.

Auslaufen von SHA-1 und Änderungen des CA/B-Forums

Obwohl wir über das Auslaufen von SHA-1 seit Jahren Bescheid wussten, wurde die Deadline schließlich am 1. Januar 2017 erreicht. GlobalSign hat bereits 2014 damit begonnen, seine Kunden zu informieren, damit Kunden nahtlos auf SHA-2-Zertifikate umsteigen können. Wenn Sie nicht vor 2017 auf SHA-2-Zertifikaten umgestellt haben, erhielten Sie wahrscheinlich immer mehr Fehlermeldungen, als SHA-1 nicht mehr als vertrauenswürdig angesehen wurde.

Im April verabschiedete das CA/B-Forum Ballot 193. Es verändert die Baseline Requirements dahingehend, dass die maximale SSL/TLS-Gültigkeit effektiv auf zwei Jahre reduziert wurde. Obwohl die Änderung erst am 1. März 2018 in Kraft tritt, betrifft sie jedoch alle Zertifizierungsstellen und alle Arten von SSL/TLS-Zertifikaten.

Warum hat das CA/B-Forum diese Änderung vorgenommen? Die Verringerung der maximalen Lebensdauer von Zertifikaten von drei auf zwei Jahre trägt dazu bei, ältere, veraltete und möglicherweise anfälligere Zertifikate zu reduzieren, die vor der Einführung neuer Richtlinien ausgestellt wurden.

GlobalSign hat proaktive Maßnahmen ergriffen und die Ausstellung von Zertifikaten mit einer Laufzeit von 3 Jahren bereits am 20. April 2017 eingestellt.

Google und Mozilla sanktionieren Symantec

Die vielleicht größte Schlagzeile des Jahres kam im März, als Google und Mozilla Symantec wegen wiederholter Verstöße, wie z. B. 30.000 missbräuchlich ausgestellte HTTPS-Zertifikate, die rote Karte zeigten.

Zu dem Zeitpunkt, als die Nachrichten über die missbräuchlich ausgestellten Zertifikate aufkamen, ordnete Google einige extreme Maßnahmen an, darunter Nicht-Akzeptanz und Vertrauensentzug für Symantec-Zertifikate für eine Dauer von 9 Monaten durch Chrome. Symantec war ein führendes Unternehmen im SSL-Zertifikat-Markt und diese Sanktionen stellten Hunderttausende Websites und Server als unsicher und nicht vertrauenswürdig dar. Keine gute Sache, denn viele der Kunden von Symantec sind große Finanz- und Gesundheitsorganisationen.

Während Symantec weiterhin mit Google und Mozilla über diese Sanktionen verhandelte, gaben die führenden Browser nicht nach. Symantec hatte nur wenige Optionen - die Sanktionen akzeptieren, nach anderen CAs zu suchen (Managed CAs), um vor der Deadline 1. Dezember 2017 Zertifikate für seine Kunden neu auszustellen oder letztendlich sein Zertifikatgeschäft zu verkaufen. Letztendlich wurde der Verkauf des Geschäfts als finale Entscheidung getroffen - mehr dazu im nächsten Abschnitt.

Übernahmen

Wir haben in diesem Jahr zwei bedeutende Übernahmen auf dem CA-Markt erlebt, an denen die beiden Marktführer Symantec und Comodo beteiligt waren. Und kürzlich hat Entrust Datacard Trustis Limited übernommen, einen spezialisierten Managed Service Provider für Public-Key-Infrastruktur (PKI) und Krypto-Management-Lösungen mit Sitz in Großbritannien.

DigiCert übernimmt das Zertifikatgeschäft von Symantec

Im August entschied sich Symantec, sein Zertifikatgeschäft zu verkaufen. DigiCert hat mit Unterstützung von Thoma Bravo, einer Private-Equity-Firma, die Symantec Geschäftseinheit für rund 950 Millionen $ übernommen. Wir haben viele Fragen zu der Übernahme in dem Blogpost "Die Semantik des Symantec-Verkaufs" aufgeworfen, z. B. wie integriert ein Unternehmen der Größe von DigiCert ein viel größeres Geschäft in seinen Betrieb. Darüber hinaus umfasste die Übernahme auch noch die geplante Zeitleiste für den Vertrauensentzug, die von Google und Mozilla festgeschrieben wurde. Zur Erinnerung hier noch einmal die Zeitleiste, deren erster Eckpunkt erst vor zwei Wochen lag:

  • 1. Dezember 2017: Symantec muss die Ausstellung aller neuen Zertifikate zur DigiCert-Infrastruktur verschieben. Alle Zertifikate, die, basierend auf der alten Infrastruktur, nach dem 01.12.17 ausgestellt werden, sind nicht vertrauenswürdig.
  • 15. März 2018: Google Chrome 66 beta misstraut Zertifikaten, die von Symantec vor dem 1. Juni 2016 ausgestellt wurden. Die Veröffentlichung von Chrome 66 wird für den 17. April 2018 erwartet.
  • 13. September 2018: Google Chrome 70 beta wird allen zuvor von Symantec ausgestellten Zertifikaten misstrauen. Die Veröffentlichung von Chrome 70 wird für den 23. Oktober 2018 erwartet.

Comodo verkauft Zertifikatgeschäft

Es gab schon lange Gerüchte über den Verkauf, als Comodo sein Zertifikatgeschäft am 31. Oktober 2017 an die Private-Equity-Firma Francisco Partners verkaufte. Die Konditionen dieses Geschäfts wurden nicht bekannt gegeben. Comodo hat sich in den letzten Jahren einen führenden Marktanteil bei SSL-Zertifikaten aufgebaut. Francisco Partners sah eine Chance, die auf der Symantec-Situation beruhte, die für diese Übernahme eine treibende Kraft war. Ab sofort wird die neue unabhängige Geschäftseinheit unter der Marke Comodo operieren. Änderungen werden für 2018 erwartet. Mehr erfahren Sie hier ...

WoSign/StartCom gibt es nicht mehr

Vor mehr als einem Jahr haben Google und Mozilla eine Untersuchung zu den Zertifikatausstellungspraktiken von WoSign eingeleitet. Was diese aufdeckte, waren vorangegangene schlechte Praktiken von WoSign und seiner Tochtergesellschaft StartCom. Da beide CAs erwartete Standards nicht eingehalten haben, kündigte Google dieses Jahr im Juli an, dass sie damit beginnen würden, deren Zertifikaten zu misstrauen.

Erst vor wenigen Wochen, am 17. November 2017, wurde bekannt gegeben, dass StartCom seinen Betrieb einstellt. Startcom- und Wosign-Zertifikate wurden von den großen Browser-Firmen wie Mozilla, Apple, Google und Microsoft auf 'Nicht vertrauenswürdig'-Listen gesetzt.

Comodo und Let’s Encrypt gehen Phishen

Das Konzept von Let's Encrypts kostenlosem SSL-Zertifikatdienst und der Trend, alles zu verschlüsseln, haben die Marktwahrnehmung für alle Zertifizierungsstellen erhöht. Alle CAs wurden ein wenig nervös und einige, wie Comodo, begannen auch damit, kostenlose Domain Validated (DV) Zertifikate anzubieten. Das einzige Problem dabei war, dass das Angebot kostenloser Zertifikate es für bösartige Websites wesentlich einfacher machte, DV-Zertifikate zu erhalten, um ihre Websites sicher aussehen zu lassen. Aus diesem Grund haben sowohl Comodo als auch Let's Encrypt Tausende von Zertifikaten für Phishing-Sites ausgestellt, wie aus dem Bericht von Netcraft und der folgenden Grafik ersichtlich wird.

Certificates issued by publicly-trusted CAs that have been used on phishing sites.

Von öffentlich vertrauenswürdigen CAs ausgestellte Zertifikate, die auf Phishing-Websites verwendet wurden. Eine interaktive, aktualisierte Version dieses Diagramms finden Sie auf Netcrafts Seite Phishiest Certificate Authorities.

Was für ein Jahr!

Was wird uns 2018 bringen? Mehr Feuerwerk? Ich denke, wir müssen abwarten und sehen. Ich bin mir sicher, dass es interessant werden wird. Es gibt noch viele Fragen zu den beiden großen Übernahmen zu beantworten. Was ich sicher weiß ist aber, dass GlobalSign in sein 22. Jahr im Geschäft als globale CA gehen wird. Wir sind in der Tat die am längsten bestehende Zertifizierungsstelle der Branche und wir setzen weiterhin auf Innovationen, um Unternehmens- und IoT-Sicherheitanforderungen zu erfüllen. Wenn Sie eine Prognose darüber haben, was nächstes Jahr passieren wird, würde ich gerne Ihre Kommentare lesen. Genießen Sie den Rest von 2017!

Artikel teilen

Jetzt Blog abonnieren