Googles Entscheidung, Entrust-Zertifikate nicht mehr zu vertrauen
Googles kürzliche Ankündigung, Digitale Zertifikate von Entrust, einer bedeutenden Zertifizierungsstelle, nicht mehr zu vertrauen, hat in der Tech- und Sicherheitsgemeinde Wellen geschlagen. Ab November 1, 2024, werden Chrome-Browser ab Version 127 keine Zertifikate von Entrust mehr vertrauen, aus Gründen der Compliance und Sicherheit. Dieser Entscheidung gingen eine Reihe von Vorfällen voraus, die das Vertrauen in die Zuverlässigkeit von Entrust untergraben haben.
Zertifikate von Entrust stehen in der Kritik, da sie mit bösartigen Websites in Verbindung gebracht werden, die für Phishing, Malware-Verbreitung und gefälschte E-Commerce-Seiten genutzt werden. Die Kritik richtet sich gegen die Überprüfungsprozesse von Entrust, die Geschwindigkeit der Zertifikatsrevokation und die Gesamtüberwachungspraxis, wodurch Bedenken hinsichtlich ihrer Fähigkeit aufkommen, böswilligen Akteuren das Erhalten von SSL/TLS-Zertifikaten zu verhindern. Dies hat zu einem Vertrauensverlust in ihre Zertifikate geführt. Um diese Probleme anzugehen, müssen Entrust und andere CAs ihre Validierungsprozesse verbessern, die Überwachung und die Effizienz der Zertifikatsrevokation sowie die Zusammenarbeit mit Sicherheitsgemeinschaften stärken, um Bedrohungen schnellstmöglich zu erkennen und zu mindern.
Schlüsselerkenntnisse
- Googles Maßnahme betrifft Chrome-Browser ab Version 127, da diese Zertifikate von Entrust und AffirmTrust nicht mehr vertrauen werden.
- Entrusts Nichterfüllung von Compliance-Standards und die Nichtbeachtung von Sicherheitsfragen haben zu dieser Entscheidung geführt.
- Website-Betreiber, die Entrust-Zertifikate nutzen, müssen bis zum Stichtag zu einer anderen Zertifizierungsstelle wechseln, um Unterbrechungen zu vermeiden.
- Benutzer haben die Option, Entrust-Zertifikate manuell zu vertrauen, tun dies jedoch auf eigenes Risiko.
Analyse
Googles Entscheidung, Entrust-Zertifikate nicht mehr zu vertrauen, spiegelt ein unerschütterliches Engagement für Sicherheit und Compliance wider. Diese Entscheidung betrifft nicht nur Website-Betreiber, sondern wirft auch Fragen zu den weiteren Auswirkungen auf den Markt, Konkurrenten und die regulatorische Landschaft auf. Zudem hebt sie die Notwendigkeit strenge Sicherheitsmaßnahmen in der Branche zu etablieren und das Potenzial für erhöhten Wettbewerb unter Zertifizierungsstellen hervor.
Wussten Sie schon?
- Digitale Zertifikate und Zertifizierungsstellen:
- Überblick: Digitale Zertifikate dienen als elektronische Credentials, die die Identität von Entitäten im Internet über ein öffentliches Schlüsselverfahren (PKI) validieren, was für sichere Online-Transaktionen und -Kommunikation unerlässlich ist. Zertifizierungsstellen wie Entrust stellen diese Zertifikate aus, um die Zuordnung von öffentlichen Schlüsseln zur beanspruchten Entität zu gewährleisten.
- TLS (Transport Layer Security):
- Überblick: TLS ist ein kryptographisches Protokoll, das für die Sicherung der Kommunikation über Computer-Netzwerke entworfen wurde, wobei SSL ersetzt. Es wird weit verbreitet genutzt, um sicheres Webbrowsen, E-Mail und Datenübertragungen zu sichern, um Datenpriv