Hmm. Warum auch immer, die Antwort per Mail wurde nicht veröffentlicht. Dann halt per cut&paste:
stimmt so nicht.[/quote]
Wie schon gesagt, aus meiner Sicht ist die Rückstufung von EV praktisch irrelevant, ich gehe davon aus, daß der Mehrzahl der Nutzer der Unterschied zumindest nicht geläufig ist: Grünes Schloß, also alles sicher.
Und die angekündigte Verkürzung der akzeptierten Laufzeit ändert auch nichts dran, daß Symantec-CAs falsche Zertifikate ausgestellt haben und dies wieder tun könnten. Bezogen auf den Schutz der Nutzer ist es ein Sturm im Wasserglas. Nur ein »Distrust« würde die Gefahr bannen — und ob der Auswirkungen vielleicht das Moment erzeugen, das für grundlegende Verhaltungsänderungen bei CAs notwendig wäre.
Soviel zum Thema ›Freunde gewinnen‹
Und ich sehe diese Unterschiede eben nicht: Beide CAs haben, wiederholt und gravierend, sich nicht an die Regeln gehalten – denen sie sich wohl selbst unterworfen haben, um Bytes zu Geld zu machen.
Zum Fall Symantec schreibt Golem [1]: »Insgesamt vier Firmen hatten Kontrolle über die Infrastruktur von Symantec, konnten Zertifikate ausstellen und wurden dabei über Jahre hinweg nicht hinreichend kontrolliert. Von diesen vier Firmen wurden insgesamt mindestens 30.000 Zertifikate ausgestellt. Offenbar ist es jedoch technisch nicht feststellbar, welche Zertifikate davon betroffen sind - sie sind identisch mit anderen von Symantec ausgestellten Zertifikaten.«
Wie man das persönlich bewertet, muß jeder für sich ausmachen. Google schreibt in [2]:
We trust root certificate authorities to properly perform the following tasks:
- Verify the identity of the requester to the extent dictated by the type of certificate (for example, domain control for server certs, full identity and organizational affiliation for EV certs).
- Ensure that there is no way to issue a certificate without a permanent record.
- Keep unalterable logs of all certificates signed by their CA.
- Audit those logs frequently for evidence of unauthorized issuance
- In the event of the mis-issuance of a certificate, proactively 1) communicate that to any parties that might be affected, and 2) revoke any mis-issued certificates, and publish notice of that revocation.
- Protect their infrastructure so as to minimize the chance that an intruder could gain access and issue fraudulent certs.
- In the event of a broader compromise, conduct a full post-mortem, and publicly publish the findings and plans for remediation of all problems, in addition to contacting the organizations directly.
[…] It is imperative that a user of Google Chrome can be confident that when proper SSL indications are shown in the browser, the user is in fact communicating with the intended site and not an attacker or other man-in-the-middle using a root certificate obtained improperly from a CA. Anything that contravenes this principle, including issuance of certificates for a website to a party other than the legitimate operator of that website, or delegation of authority that results in the issuance of certificates for a website to a party other than the legitimate operator of that website, is a serious violation of trust that will be dealt with in accordance to this policy.
Nimmt man das mit Aussagen wie in [3], ist ein »Distrust« unumgänglich, wenn man nicht mit zweierlei Maß mißt: »As demonstrated through the information provided, these four entities did not follow the appropriate practices or did not possess the appropriate and necessary audits from the appropriate parties. Symantec has acknowledged they were actively aware of this for at least one party, failed to disclose this to root programs, and did not sever the relationship with this party.«
Was das mit Rumpelstilzchen zu tun haben soll, verstehe ich nicht. Das man eine andere Auffassung vertritt, »wird man doch wohl noch sagen dürfen?«
Google jedenfalls gibt sich als Schützer der Nutzer [4]: »Google has determined that two CAs, WoSign and StartCom, have not maintained the high standards expected of CAs and will no longer be trusted by Google Chrome, in accordance with our Root Certificate Policy.«
Aus meiner Sicht hat sich Symantec nun einmal qualitativ nicht weniger uneinsichtig und unzuverlässig gezeigt als WoSign, und dennoch wird nicht mit gleicher Kelle ausgeteilt gegen den Platzhirsch mit 30+% Marktanteil. Damit wird das Vorgehen aus meiner Sicht schlicht willkürlich und daher illegitim.
So, bin gespannt, wie Discourse das umsetzt [EDIT: ja leider gar nicht. Tut Mail2Discourse mal wieder nicht?]
[1] Golem.de: IT-News für Profis
[2] Chrome Root Program Policy, Version 1.4
[3] Redirecting to Google Groups
[4] Google Online Security Blog: Distrusting WoSign and StartCom Certificates