-
Habs nie verstanden ...
Autor: phade 15.10.18 - 14:06
Damals hatte nur ein Reseller von Symantec Murks gemacht und faktisch war es ein Problem, dass es über die API bei Symantec möglich war, die Authorisierung nicht durchzuführen, aber ...
a) der Reseller mit den gut 100 nicht korrekt authorisierten Zertifikaten war m.W.
einer, der nur Zertifikate direkt unter der Symantec-Root verkauft hatte
b) GeoTrust und RapidSSL waren mal Zukäufe von Symantec gewesen
(wobei RapidSSL mal von GeoTrust gekauft wurde, wenn ich nicht irre).
Beide hatten ihr komplett eigenes Onlinesystem und API für Reseller, ein eigenes
Intermediate Zertifikate (ok, was gegen Symantec signiert war) und hatten
technisch ansonsten nichts mit Symantec zu tun. In deren API und Abläufen
gab es ja kein Problem.
Warum dann alle Subfirmen von Symantec von google gleich mit abgestraft wurden, habe ich bis heute nicht verstanden. Es hätte völlig gereicht, die Intermediate-Zertifikate von RapidSSL und GeoTrust von z.B. DigiCert signieren zu lassen und dann nur zu tauschen, wenn man Symantec loswerden wollte.
So mussten auch wir 100erte Zertifikate beim Kunden austauschen (anstatt einfach nur das Intermediate zu tauschen), die ganzen Kunden kontakten und verunsichern und alle die Inhaber um erneute Zustimmung bitten (was bei Chefs manchmal gar nicht einfach ist), deren Techniker instruieren, was sie wo einspielen sollen usw. Kostenfrei für den Kunden versteht sich.
Ok, jetzt sind alle vor der normalen Erneuerung getauscht, der Aufwand war aber absolut sinnlos.
Hätte google nur ein Jahr zugegeben (die paar wirklich betroffenen Zertifikate waren ja längst alle revoked !), hätten sich alle Zertifikate sowieso normal verlängert und wären dann mit neuer Root-CA gelaufen.
Dass nun Mozilla den Weg geht, jetzt, nachdem der Aufwand schon entstanden ist, ist eigentlich eine Frechheit gegenüber denjenigen, die brav der Timeline gefolgt sind.
Meiner Interpretation war hier google nur aktiv, hat diese Lapalie zum Elefanten aufgeblasen, um die kommerzielle https-Zertifikate loszuwerden, LetsEncrypt voran zu bringen, die Laufzeit von Zertifikaten bis zu 3 Jahren wurde gleich mit kassiert, um schlussendlich *ihr* hsts durchzubringen und https (und somit http) damit zu ersetzen. Wieder mal ein Beispiel, wie eine Firma massiv die Entwicklung der Internetprotokolle beeinflusst.
1 mal bearbeitet, zuletzt am 15.10.18 14:08 durch phade.



