1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Chrome: Google plant drastische…

Richtig so

  1. Thema
  1. 1
  2. 2

Neues Thema


  1. Richtig so

    Autor: emuuu 24.03.17 - 12:52

    Ich bin beileibe kein Fan von Google und seiner marktbeherrschenden Stellung.

    Allerdings sind die Zertifikate für die CAs eine eierlegende Wollmilchsau die zu völlig überteuerten Preisen angeboten wird. Da kann man wenigstens erwarten, dass das nötige QM eingehalten wird, damit man nur den Hauch einer Grundlage für diese Preise hat.

  2. Re: Richtig so

    Autor: Thiesi 24.03.17 - 13:26

    Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will. Es ist ja nicht so, dass Google Symantec irgendwas vorschreiben könnte. Und im CA/Browser-Forum scheinen solche Vorschläge, wie im Artikel steht, ja jetzt nicht unbedingt mehrheitsfähig zu sein, was natürlich verständlich ist, da eine Krähe einer anderen ja bekanntlich kein Auge aushackt.

  3. Re: Richtig so

    Autor: LH 24.03.17 - 13:29

    Thiesi schrieb:
    --------------------------------------------------------------------------------
    > Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will.

    Google veröffentlicht den weltweit aktuell wichtigsten Browser. Angeblich aktuell > 50% Marktanteil. Wenn dann noch Mozilla mitzieht (und meistens sind sie nicht weniger streng), sind es leicht über 60% aller Browser im Markt, die potentiell hier betroffen sind.

    Wenn auch nur 20% der Browser ein Zertifikat nicht akzeptieren, wäre es bereits ein großes Problem für eine Zertifikatsstelle....

  4. Re: Richtig so

    Autor: jeegeek 24.03.17 - 13:30

    Thiesi schrieb:
    --------------------------------------------------------------------------------
    > Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will. Es
    > ist ja nicht so, dass Google Symantec irgendwas vorschreiben könnte. Und im
    > CA/Browser-Forum scheinen solche Vorschläge, wie im Artikel steht, ja jetzt
    > nicht unbedingt mehrheitsfähig zu sein, was natürlich verständlich ist, da
    > eine Krähe einer anderen ja bekanntlich kein Auge aushackt.

    Google hat eine so große Marktmacht das sie so was erzwingen können. Nehmen wir mal an deine Bank nutzt ein solches Zertifikat und dein Browser sagt dir das die Verbindung nicht vertrauenswürdig ist... Ich persönlich würde keine 100 Euro für ein Zertifikat ausgeben wollen das die meisten Browser als unsicher ansehen. Neben Google wird da vermutlich auch Mozilla mitziehen was zur folge hat das die anderen auch mitmachen werden.

    Unterm Strich ist das in meinen Augen richtig so, wenn ein Anbieter mit Sicherheit und Vertrauenswürdigkeit wirbt und Geld verdient, aber nichts davon bietet, dann muss die Menschheit davor geschützt werden. Zumal es in die Richtung die letzten Jahre schon oft Warnschüsse gab ohne Besserung.

  5. Re: Richtig so

    Autor: ibsi 24.03.17 - 13:31

    Und das ist - in diesem Fall jedenfalls - was gutes. Denn es geht bei Zertifikaten um vertrauen. Und kann man jemandem wie Symantec aktuell trauen? Offensichtlich nicht.

  6. Re: Richtig so

    Autor: Shred 24.03.17 - 13:32

    Thiesi schrieb:
    --------------------------------------------------------------------------------
    > Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will.

    Nun, Chrome wird eine Zertifikatswarnung statt der gewünschten Webseite darstellen. Die Kunden von Symantec dürften das nicht so prickelnd finden.

    Neben dem Chrome-Browser werden auch die meisten Android-Browser so reagieren.

  7. Re: Richtig so

    Autor: blackbirdone 24.03.17 - 13:37

    Sie verdienen mit einer Cent zu tausend Euro marge Geld, das ist okay wenn man den Sicherheitsgewinn ansieht. Blöd nur wenn die Sicherheit nicht erbracht wird by by Symantec

  8. Re: Richtig so

    Autor: Dino13 24.03.17 - 13:39

    Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals. Glaube nicht dass sie diese einfach so gewinnen. Symantec macht doch den Spaß nicht einfach so von Google mit, egal ob Sinnvoll oder nicht.

  9. Re: Richtig so

    Autor: Börek 24.03.17 - 13:40

    Also als Privatanwender empfand ich schon in den 90ern Symantec Software als ware
    Rressourcenfresser ud habe sie gemieden wie die Pest. Im Job wurde uns ein mal deren Server Backupsoftware angeboten (heute glaube ich separate Firma) und der IT-ler meinte noch, das habe nichts mit dem Desktopsschrott zu tun. Top Software.
    Da ich keinen Vergleich dazu hatte, mußte man der Aussage trauen.
    Als dann der Techniker kam um sie zu installieren, sagte er schon beim anblick des Servers (gekauft bei gleicher Firma): oha, das wird nix.
    Trotzdem Probiert und es lief, aber wie...... Standbild des todes.
    Dies war der letzte Tag in meinem Leben, an dem ich etwas von Symantec überhaupt in erwägung ziehe. Geschweige den kaufe.
    Das Konkurrenzprodukt von Veeam lief dafür Zucker auf dem System.

    Von daher, geschieht es dieser Firma recht.
    Ach und die Klitsche, die uns betreut hat auch ^^

  10. Re: Richtig so

    Autor: LH 24.03.17 - 13:41

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    > Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.

    Und Google würde gewinnen. Es liegt alleine an Google, welche Zertifizierungsstelle sie mit welchen Regeln akzeptieren. Es ist ihr Browser.

  11. Re: Richtig so

    Autor: picaschaf 24.03.17 - 13:43

    LH schrieb:
    --------------------------------------------------------------------------------
    > Dino13 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
    >
    > Und Google würde gewinnen. Es liegt alleine an Google, welche
    > Zertifizierungsstelle sie mit welchen Regeln akzeptieren. Es ist ihr
    > Browser.


    Und noch dazu hat es rationale Gründe. Google sperrt die Zertifikate ja nicht aus Spaß, sondern nutzt sie bestimmungsgemäß.

  12. Re: Richtig so

    Autor: Dino13 24.03.17 - 13:48

    Na ganz so einfach ist es nicht mit dem "es ist ihr Browser sie dürfen machen was sie wollen". Sie müssten tatsächlich es vor Gericht beweisen dass sie der Zertifizierungsstelle prinzipiell und nicht nur im Einzelfall nicht mehr zu trauen ist, das wäre nicht ganz so einfach zu bewerkstelligen.

  13. Re: Richtig so

    Autor: emuuu 24.03.17 - 13:51

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    > Na ganz so einfach ist es nicht mit dem "es ist ihr Browser sie dürfen
    > machen was sie wollen". Sie müssten tatsächlich es vor Gericht beweisen
    > dass sie der Zertifizierungsstelle prinzipiell und nicht nur im Einzelfall
    > nicht mehr zu trauen ist, das wäre nicht ganz so einfach zu
    > bewerkstelligen.

    Doch ist es. Lies die vorangegangenen Artikel dazu. Und es ist ja nicht so, dass Google und Mozilla das einfach so aus dem Bauch heraus entscheiden. Das war wirklich mit Ankündigung und drei Warnschüssen.

    Zumal bei einer Unterlassungsklage Symantec belegen müsste, dass sie sich nicht falsch verhalten haben.

  14. Re: Richtig so

    Autor: Porterex 24.03.17 - 13:53

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    > Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
    > Glaube nicht dass sie diese einfach so gewinnen. Symantec macht doch den
    > Spaß nicht einfach so von Google mit, egal ob Sinnvoll oder nicht.

    Warum das, wenn bereits nachgewiesen werden kann, das Symatec ein "Sicherheitsloch" bei der Zertifikatsvergabe hat. In dem Fall hat Symantec sich fahrlässig verhalten und bisher wohl auch nicht viel unternommen, die betroffenen Zertifikate zu widerrufen.



    2 mal bearbeitet, zuletzt am 24.03.17 13:55 durch Porterex.

  15. Re: Richtig so

    Autor: Dino13 24.03.17 - 14:01

    Weil vor dem Gericht nichts so einfach ist wie im realen Leben. Und Symantec hat genügend Geld hat das ganze ewig vor Gericht auszutragen, vor allem dann wenn es um ihre Existenz geht,
    Ich will mich hier auch auf keinen Fall auf die Seite von Symantec stellen. Ich will einfach nur sagen das es nicht ganz so einfach ist sie auszusperren.

  16. Re: Richtig so

    Autor: Schattenwerk 24.03.17 - 14:15

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    > Weil vor dem Gericht nichts so einfach ist wie im realen Leben. Und
    > Symantec hat genügend Geld hat das ganze ewig vor Gericht auszutragen, vor
    > allem dann wenn es um ihre Existenz geht

    Dumm nur, dass Alphabet mehr Gewinn macht als Symantec Umsatz ;)

  17. Re: Richtig so

    Autor: HubertHans 24.03.17 - 14:23

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    > Und dann hat Google aber ganz schnell eine Unterlassungsklage am Hals.
    > Glaube nicht dass sie diese einfach so gewinnen. Symantec macht doch den
    > Spaß nicht einfach so von Google mit, egal ob Sinnvoll oder nicht.

    Ich denke nicht. Symantec waere nicht der Erste, deren Zertifikate zerlegt werden. und warum nenne alle nur Chrome und Mozilla? Microsoft steigt da bei Relevanz genauso ein.

    Klagen koennen sie. Aber wenn sie ihre Leistungen nicht erbracht haben, dann kann man sie an genau diesem nagel aufknuepfen. Die Frage ist ja auch: Warum wurden zusaetzliche Zertifikate erstellt? Klingt nach SSL-Interception.



    1 mal bearbeitet, zuletzt am 24.03.17 14:24 durch HubertHans.

  18. Re: Richtig so

    Autor: LH 24.03.17 - 14:28

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    > Na ganz so einfach ist es nicht mit dem "es ist ihr Browser sie dürfen
    > machen was sie wollen". Sie müssten tatsächlich es vor Gericht beweisen
    > dass sie der Zertifizierungsstelle prinzipiell und nicht nur im Einzelfall
    > nicht mehr zu trauen ist, das wäre nicht ganz so einfach zu
    > bewerkstelligen.

    Das müssen sie nicht, sie haben trotzt hoher Marktanteile keine Marktbeherschende Stellung. Daher dürfen sie Symantec im Zweifelsfall auch ganz entfernen. Und wenn Symantec klagt, würde sicher auch genau das passieren.

    Nebenher, auch andere Zertifikatsstellen wurden schon temporär oder dauerhaft entfernt. Bisher konnte sich dagegen kleiner wehren. Dafür gibt es auch keine Grundlage.

  19. Re: Richtig so

    Autor: LH 24.03.17 - 14:32

    Dino13 schrieb:
    --------------------------------------------------------------------------------
    >Und Symantec hat genügend Geld hat das ganze ewig vor Gericht auszutragen, vor
    > allem dann wenn es um ihre Existenz geht,

    Und Google/Alphabet ist natürlich ein winziges Unternehmen ;)
    Die Sache ist doch einfach: Symantec sich aufbläst, wird die Sache für sie nur schlimmer. Schon jetzt haben sie schaden genommen, wenn die Sache noch größer wird, würde das Thema noch präsenter, und Kunden vermutlich eher abwandern als zu Symantec gehen. Insofern hat Symantec gar kein Interesse, hier weiter Probleme zu verursachen. Man wird tun, was alle getan haben: Buckeln und hoffen, das man damit weiter kommt.

    > Ich will einfach nur sagen das es nicht ganz so einfach ist sie
    > auszusperren.

    Doch, ist es. In diesem Fall schon.

  20. Re: Richtig so

    Autor: Xiut 24.03.17 - 14:53

    LH schrieb:
    --------------------------------------------------------------------------------
    > Thiesi schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich frage mich allerdings, wie Google diese Maßnahmen durchsetzen will.
    >
    > Google veröffentlicht den weltweit aktuell wichtigsten Browser. Angeblich
    > aktuell > 50% Marktanteil. Wenn dann noch Mozilla mitzieht (und meistens
    > sind sie nicht weniger streng), sind es leicht über 60% aller Browser im
    > Markt, die potentiell hier betroffen sind.
    >
    > Wenn auch nur 20% der Browser ein Zertifikat nicht akzeptieren, wäre es
    > bereits ein großes Problem für eine Zertifikatsstelle....

    Und 20% wäre schon ein sehr "guter" Wert... ich würde nicht einmal ein Zertifikat einsetzen, welches von 5% oder noch weniger nicht als vertrauenswürdig eingestuft werden würde. Dafür ist einfach der mögliche Schaden, den eine entsprechende Meldung im Browser eines Besuchers/Kunden anrichten könnte (finanziell gesehen) einfach zu groß. Zudem es ja genügend und deutlich bessere Alternativen gibt. Und damit meine ich nicht nur Lets Encrypt, sondern eben auch andere CAs.

  1. Thema
  1. 1
  2. 2

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Koordinatorin / Koordinator (w/m/d) im operativen Betrieb der Rechenzentren
    Informationstechnikzentrum Bund (ITZBund), Bonn
  2. Mitarbeiter (m/w/d) für IT-Consulting
    ProSoft GmbH, Geretsried
  3. Senior Software und System Testing Engineer (m/w/d)
    Trox GmbH, Neukirchen-Vluyn
  4. Wissenschaftlicher Mitarbeiter / Doktorand für Elektromobilität und Digitalisierung der Energiewende ... (m/w/d)
    Hochschule Biberach, Biberach an der Riß

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote


Haben wir etwas übersehen?

E-Mail an news@golem.de


Digitale-Dienste-Gesetz: Regierung bessert bei der Störerhaftung nach
Digitale-Dienste-Gesetz
Regierung bessert bei der Störerhaftung nach

Bei der Umsetzung des DSA in deutsches Recht soll der Schutz vor kostenpflichtigen Abmahnungen nun doch beibehalten bleiben.
Ein Bericht von Friedhelm Greis

  1. Störerhaftung Verbraucherschützer befürchten neue Abmahnwelle bei WLANs

Science-Fiction: Zehn Sci-Fi-Highlights aus den 70er Jahren
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren

Mit Star Wars verändert sich die Science-Fiction im Kino stark. Welche anderen Filme aus den 70ern sollte man unbedingt gesehen haben?
Von Peter Osteried

  1. Doctor Who Die Geburt des Doctorverse
  2. Sci-Fi-Film T.I.M. Wenn der Hausroboter ein Faible für die Hausherrin hat
  3. Alex Garlands neuer Film Civil War Die USA im Bürgerkrieg

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann