In der aktuellen Entwickler-Version (Nightly) von Mozillas Firefox werden jetzt schon Sicherheitswarnungen angezeigt, wenn man damit eine Webseite mit Sicherheitszertifikat von Symantec besucht.
Damit baut Hersteller Mozilla sein Misstrauen gegenüber Symantec weiter aus. In der aktuellen Nightly-Version 63 des Mozilla-Browsers Firefox werden die TLS-Zertifikate der Zertifizierungsstelle (CA) als nicht vertrauenswürdig eingestuft. Das kann man aus Einträgen auf der Mozilla-Webseite Bugzilla entnehmen.
Ursächlich dafür ist die Tatsache, dass Symantec sich in der Vergangenheit nicht immer korrekt an die auf Vertrauen fußenden Regeln zum Ausstellen von Zertifikaten gehalten hat. Symantev hat unter anderem mehrfach unberechtigte Zertifikate für google.com ausgestellt.
Prominentes Opfer: Die Deutsche Bahn
Wird eine Webseite mit einem TLS-Zertifikat von Symantec besucht, dann warnt eine Meldung des Firefox-Browsers davor, dass eventuell Angreifer Passwörter oder Kreditkarten-Daten mitschneiden könnten.
Diese Warnung taucht zum Beispiel auch auf, wenn man mit der aktuellen Nightly-Version von Firefox die Webseite der Deutschen Bahn besucht. In einem Bugzilla-Beitrag stellen Firefox-Nutzer weitere davon betroffene Webseiten zusammen.
Abhilfe durch Zertifikatswechsel
Das betrifft nicht nur Zertifikate von Symantec direkt, sondern auch Webseiten mit Zertifikaten von Equifax, Geotrust, RapidSSL, Thawte und Versign betroffen, die Symantec im Laufe der Jahre Jahre übernommen hat.
Um die Besucher der eigenen Seiten nicht zu verunsichern, sollten die Web-Admins deshalb die betroffenen Zertifikate bald austauschen. Digicert bietet dafür ein kostenloses Austauschprogramm an.
Ab dem 23. Oktober soll die diskriminierende Warnung auch in der „normalen“ Version von Firefox auftauchen.
