-
Richtig so
Autor: emuuu 24.03.17 - 12:52
Ich bin beileibe kein Fan von Google und seiner marktbeherrschenden Stellung.
Allerdings sind die Zertifikate für die CAs eine eierlegende Wollmilchsau die zu völlig überteuerten Preisen angeboten wird. Da kann man wenigstens erwarten, dass das nötige QM eingehalten wird, damit man nur den Hauch einer Grundlage für diese Preise hat. -
Re: Richtig so
Autor: Thiesi 24.03.17 - 13:26
Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will. Es ist ja nicht so, dass Google Symantec irgendwas vorschreiben könnte. Und im CA/Browser-Forum scheinen solche Vorschläge, wie im Artikel steht, ja jetzt nicht unbedingt mehrheitsfähig zu sein, was natürlich verständlich ist, da eine Krähe einer anderen ja bekanntlich kein Auge aushackt.
-
Re: Richtig so
Autor: LH 24.03.17 - 13:29
Thiesi schrieb:
--------------------------------------------------------------------------------
> Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will.
Google veröffentlicht den weltweit aktuell wichtigsten Browser. Angeblich aktuell > 50% Marktanteil. Wenn dann noch Mozilla mitzieht (und meistens sind sie nicht weniger streng), sind es leicht über 60% aller Browser im Markt, die potentiell hier betroffen sind.
Wenn auch nur 20% der Browser ein Zertifikat nicht akzeptieren, wäre es bereits ein großes Problem für eine Zertifikatsstelle.... -
Re: Richtig so
Autor: jeegeek 24.03.17 - 13:30
Thiesi schrieb:
--------------------------------------------------------------------------------
> Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will. Es
> ist ja nicht so, dass Google Symantec irgendwas vorschreiben könnte. Und im
> CA/Browser-Forum scheinen solche Vorschläge, wie im Artikel steht, ja jetzt
> nicht unbedingt mehrheitsfähig zu sein, was natürlich verständlich ist, da
> eine Krähe einer anderen ja bekanntlich kein Auge aushackt.
Google hat eine so große Marktmacht das sie so was erzwingen können. Nehmen wir mal an deine Bank nutzt ein solches Zertifikat und dein Browser sagt dir das die Verbindung nicht vertrauenswürdig ist... Ich persönlich würde keine 100 Euro für ein Zertifikat ausgeben wollen das die meisten Browser als unsicher ansehen. Neben Google wird da vermutlich auch Mozilla mitziehen was zur folge hat das die anderen auch mitmachen werden.
Unterm Strich ist das in meinen Augen richtig so, wenn ein Anbieter mit Sicherheit und Vertrauenswürdigkeit wirbt und Geld verdient, aber nichts davon bietet, dann muss die Menschheit davor geschützt werden. Zumal es in die Richtung die letzten Jahre schon oft Warnschüsse gab ohne Besserung. -
Re: Richtig so
Autor: ibsi 24.03.17 - 13:31
Und das ist - in diesem Fall jedenfalls - was gutes. Denn es geht bei Zertifikaten um vertrauen. Und kann man jemandem wie Symantec aktuell trauen? Offensichtlich nicht.
-
Re: Richtig so
Autor: Shred 24.03.17 - 13:32
Thiesi schrieb:
--------------------------------------------------------------------------------
> Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will.
Nun, Chrome wird eine Zertifikatswarnung statt der gewünschten Webseite darstellen. Die Kunden von Symantec dürften das nicht so prickelnd finden.
Neben dem Chrome-Browser werden auch die meisten Android-Browser so reagieren. -
Re: Richtig so
Autor: blackbirdone 24.03.17 - 13:37
Sie verdienen mit einer Cent zu tausend Euro marge Geld, das ist okay wenn man den Sicherheitsgewinn ansieht. Blöd nur wenn die Sicherheit nicht erbracht wird by by Symantec
-
Re: Richtig so
Autor: Dino13 24.03.17 - 13:39
Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals. Glaube nicht dass sie diese einfach so gewinnen. Symantec macht doch den Spaß nicht einfach so von Google mit, egal ob Sinnvoll oder nicht.
-
Re: Richtig so
Autor: Börek 24.03.17 - 13:40
Also als Privatanwender empfand ich schon in den 90ern Symantec Software als ware
Rressourcenfresser ud habe sie gemieden wie die Pest. Im Job wurde uns ein mal deren Server Backupsoftware angeboten (heute glaube ich separate Firma) und der IT-ler meinte noch, das habe nichts mit dem Desktopsschrott zu tun. Top Software.
Da ich keinen Vergleich dazu hatte, mußte man der Aussage trauen.
Als dann der Techniker kam um sie zu installieren, sagte er schon beim anblick des Servers (gekauft bei gleicher Firma): oha, das wird nix.
Trotzdem Probiert und es lief, aber wie...... Standbild des todes.
Dies war der letzte Tag in meinem Leben, an dem ich etwas von Symantec überhaupt in erwägung ziehe. Geschweige den kaufe.
Das Konkurrenzprodukt von Veeam lief dafür Zucker auf dem System.
Von daher, geschieht es dieser Firma recht.
Ach und die Klitsche, die uns betreut hat auch ^^ -
Re: Richtig so
Autor: LH 24.03.17 - 13:41
Dino13 schrieb:
--------------------------------------------------------------------------------
> Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
Und Google würde gewinnen. Es liegt alleine an Google, welche Zertifizierungsstelle sie mit welchen Regeln akzeptieren. Es ist ihr Browser. -
Re: Richtig so
Autor: picaschaf 24.03.17 - 13:43
LH schrieb:
--------------------------------------------------------------------------------
> Dino13 schrieb:
> ---------------------------------------------------------------------------
> -----
> > Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
>
> Und Google würde gewinnen. Es liegt alleine an Google, welche
> Zertifizierungsstelle sie mit welchen Regeln akzeptieren. Es ist ihr
> Browser.
Und noch dazu hat es rationale Gründe. Google sperrt die Zertifikate ja nicht aus Spaß, sondern nutzt sie bestimmungsgemäß. -
Re: Richtig so
Autor: Dino13 24.03.17 - 13:48
Na ganz so einfach ist es nicht mit dem "es ist ihr Browser sie dürfen machen was sie wollen". Sie müssten tatsächlich es vor Gericht beweisen dass sie der Zertifizierungsstelle prinzipiell und nicht nur im Einzelfall nicht mehr zu trauen ist, das wäre nicht ganz so einfach zu bewerkstelligen.
-
Re: Richtig so
Autor: emuuu 24.03.17 - 13:51
Dino13 schrieb:
--------------------------------------------------------------------------------
> Na ganz so einfach ist es nicht mit dem "es ist ihr Browser sie dürfen
> machen was sie wollen". Sie müssten tatsächlich es vor Gericht beweisen
> dass sie der Zertifizierungsstelle prinzipiell und nicht nur im Einzelfall
> nicht mehr zu trauen ist, das wäre nicht ganz so einfach zu
> bewerkstelligen.
Doch ist es. Lies die vorangegangenen Artikel dazu. Und es ist ja nicht so, dass Google und Mozilla das einfach so aus dem Bauch heraus entscheiden. Das war wirklich mit Ankündigung und drei Warnschüssen.
Zumal bei einer Unterlassungsklage Symantec belegen müsste, dass sie sich nicht falsch verhalten haben. -
Re: Richtig so
Autor: Porterex 24.03.17 - 13:53
Dino13 schrieb:
--------------------------------------------------------------------------------
> Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
> Glaube nicht dass sie diese einfach so gewinnen. Symantec macht doch den
> Spaß nicht einfach so von Google mit, egal ob Sinnvoll oder nicht.
Warum das, wenn bereits nachgewiesen werden kann, das Symatec ein "Sicherheitsloch" bei der Zertifikatsvergabe hat. In dem Fall hat Symantec sich fahrlässig verhalten und bisher wohl auch nicht viel unternommen, die betroffenen Zertifikate zu widerrufen.
2 mal bearbeitet, zuletzt am 24.03.17 13:55 durch Porterex. -
Re: Richtig so
Autor: Dino13 24.03.17 - 14:01
Weil vor dem Gericht nichts so einfach ist wie im realen Leben. Und Symantec hat genügend Geld hat das ganze ewig vor Gericht auszutragen, vor allem dann wenn es um ihre Existenz geht,
Ich will mich hier auch auf keinen Fall auf die Seite von Symantec stellen. Ich will einfach nur sagen das es nicht ganz so einfach ist sie auszusperren. -
Re: Richtig so
Autor: Schattenwerk 24.03.17 - 14:15
Dino13 schrieb:
--------------------------------------------------------------------------------
> Weil vor dem Gericht nichts so einfach ist wie im realen Leben. Und
> Symantec hat genügend Geld hat das ganze ewig vor Gericht auszutragen, vor
> allem dann wenn es um ihre Existenz geht
Dumm nur, dass Alphabet mehr Gewinn macht als Symantec Umsatz ;) -
Re: Richtig so
Autor: HubertHans 24.03.17 - 14:23
Dino13 schrieb:
--------------------------------------------------------------------------------
> Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
> Glaube nicht dass sie diese einfach so gewinnen. Symantec macht doch den
> Spaß nicht einfach so von Google mit, egal ob Sinnvoll oder nicht.
Ich denke nicht. Symantec waere nicht der Erste, deren Zertifikate zerlegt werden. und warum nenne alle nur Chrome und Mozilla? Microsoft steigt da bei Relevanz genauso ein.
Klagen koennen sie. Aber wenn sie ihre Leistungen nicht erbracht haben, dann kann man sie an genau diesem nagel aufknuepfen. Die Frage ist ja auch: Warum wurden zusaetzliche Zertifikate erstellt? Klingt nach SSL-Interception.
1 mal bearbeitet, zuletzt am 24.03.17 14:24 durch HubertHans. -
Re: Richtig so
Autor: LH 24.03.17 - 14:28
Dino13 schrieb:
--------------------------------------------------------------------------------
> Na ganz so einfach ist es nicht mit dem "es ist ihr Browser sie dürfen
> machen was sie wollen". Sie müssten tatsächlich es vor Gericht beweisen
> dass sie der Zertifizierungsstelle prinzipiell und nicht nur im Einzelfall
> nicht mehr zu trauen ist, das wäre nicht ganz so einfach zu
> bewerkstelligen.
Das müssen sie nicht, sie haben trotzt hoher Marktanteile keine Marktbeherschende Stellung. Daher dürfen sie Symantec im Zweifelsfall auch ganz entfernen. Und wenn Symantec klagt, würde sicher auch genau das passieren.
Nebenher, auch andere Zertifikatsstellen wurden schon temporär oder dauerhaft entfernt. Bisher konnte sich dagegen kleiner wehren. Dafür gibt es auch keine Grundlage. -
Re: Richtig so
Autor: LH 24.03.17 - 14:32
Dino13 schrieb:
--------------------------------------------------------------------------------
>Und Symantec hat genügend Geld hat das ganze ewig vor Gericht auszutragen, vor
> allem dann wenn es um ihre Existenz geht,
Und Google/Alphabet ist natürlich ein winziges Unternehmen ;)
Die Sache ist doch einfach: Symantec sich aufbläst, wird die Sache für sie nur schlimmer. Schon jetzt haben sie schaden genommen, wenn die Sache noch größer wird, würde das Thema noch präsenter, und Kunden vermutlich eher abwandern als zu Symantec gehen. Insofern hat Symantec gar kein Interesse, hier weiter Probleme zu verursachen. Man wird tun, was alle getan haben: Buckeln und hoffen, das man damit weiter kommt.
> Ich will einfach nur sagen das es nicht ganz so einfach ist sie
> auszusperren.
Doch, ist es. In diesem Fall schon. -
Re: Richtig so
Autor: Xiut 24.03.17 - 14:53
LH schrieb:
--------------------------------------------------------------------------------
> Thiesi schrieb:
> ---------------------------------------------------------------------------
> -----
> > Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will.
>
> Google veröffentlicht den weltweit aktuell wichtigsten Browser. Angeblich
> aktuell > 50% Marktanteil. Wenn dann noch Mozilla mitzieht (und meistens
> sind sie nicht weniger streng), sind es leicht über 60% aller Browser im
> Markt, die potentiell hier betroffen sind.
>
> Wenn auch nur 20% der Browser ein Zertifikat nicht akzeptieren, wäre es
> bereits ein großes Problem für eine Zertifikatsstelle....
Und 20% wäre schon ein sehr "guter" Wert... ich würde nicht einmal ein Zertifikat einsetzen, welches von 5% oder noch weniger nicht als vertrauenswürdig eingestuft werden würde. Dafür ist einfach der mögliche Schaden, den eine entsprechende Meldung im Browser eines Besuchers/Kunden anrichten könnte (finanziell gesehen) einfach zu groß. Zudem es ja genügend und deutlich bessere Alternativen gibt. Und damit meine ich nicht nur Lets Encrypt, sondern eben auch andere CAs.



