Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › TLS-Zertifikate: Symantec verpeilt es…

Warum wird Symantec nicht rausgeschmissen?

  1. Thema

Neues Thema Ansicht wechseln


  1. Warum wird Symantec nicht rausgeschmissen?

    Autor: /dev/42 21.01.17 - 08:43

    Das ist nicht der erste Vorfall dieser Art bei Symantec, von daher wäre es von der Mozilla Foundation nur konsequent diesen Verein ebenso wie Wosign/StartSSL aus dem CA Repository von Firefox zu löschen. Das gilt natürlich auch für Google und Apple.



    1 mal bearbeitet, zuletzt am 21.01.17 08:43 durch /dev/42.

  2. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: derdiedas 21.01.17 - 10:17

    Weil Millionen von Firmen das Zeugs von Symantec einsetzen und sich auf deren WebGuis Einloggen. Werfen die Browserhersteller Symantec also raus, sollte die sich sicher sein das dies nicht gegen irgendwelche Wettbewerbsgesetze irgendwo auf der Welt verstoßen.
    Sprich der Rauswurf muss absolut Wasserdicht formuliert sein. Und bei Zertifikaten die irgendwie "Test" enthalten ist das schwer es Wasserdicht zu formulieren.

    Es reicht schon wenn es etwa in Australien ein solches Gesetz gibt und schon zahlt die Mozilla Foundation Millionen an Schadensersatzzahlungen.

    Gruß H.

  3. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: My1 21.01.17 - 11:12

    das Problem ist dass obwohl im Name test bei einigen certs steht, ist es nicht für irgendwelche test domains von symantec, sondern für domains die ohnen nicht gehören.
    und ganz nebenbei das hier hat das wort test nirgendwo stehen.

    das Problem ist dass Symantec für domains die ihnen nicht gehören oder gar nicht existieren (gehören denen also auch nicht) einfach mal Gltige Zerifikate erstellt. Das Revocation System ist bei den Meisten browsern insbesondere Mobil, ziemlich für den Eimer.

    Asperger inside(tm)

  4. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: derdiedas 21.01.17 - 17:19

    Das stelle ich auch ja nicht in Frage, aber auch example.com ist eher ein Name den man internen Testdomains gibt.

    Kurzum, irgendein Techniker brauchte mal ein Zertifikat zum testen und hat nicht nachgedacht. Und ob das "reicht" sich mit einem Konzern von der Größe Symantecs anzulegen weiss ich nicht.

    Und deshalb denke ich auch das die Browserhersteller hier "noch" die Füße stillhalten.

    Gruß ddd

  5. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: My1 21.01.17 - 17:21

    das problem ist dass das bereits passiert ist und symantec schon ne Warnung und von chrome sogar den CT-Zwang Kassiert hat.

    Asperger inside(tm)

  6. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: derdiedas 21.01.17 - 17:33

    tja - ich würde sagen das hier die Domainvergabe "versagt" hat. Denn gewisse Namen hätte man für "Testdomains" reservieren müssen, genauso wie man Private IP Ranges aus dem allgemeinen IP Pool ausgegrenzt hat. Und test.com, test.de oder example.com oder beispiel.de hätten niemals registrierbar sein dürfen. Genaus wenig wie kinder.com für einen Süsswarenladen - aber das ist eine andere Geschichte.

  7. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: My1 21.01.17 - 17:36

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > tja - ich würde sagen das hier die Domainvergabe "versagt" hat. Denn
    > gewisse Namen hätte man für "Testdomains" reservieren müssen

    oder vielleicht kann symantec auch einfach irgend ne domain nehmen die sie bereits haben, oder eine registrieren, ist doch für ein unternehmen mit der größe kein problem.

    und ganz nebenbei es gibt die TLD .test
    https://tools.ietf.org/html/rfc2606#section-2

    Asperger inside(tm)



    1 mal bearbeitet, zuletzt am 21.01.17 17:39 durch My1.

  8. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: deadeye 22.01.17 - 08:41

    Die Antwort lautet Geld.

    Da ist sehr viel Geld im Spiel. Wie schon andere richtig erkannt haben, werden sehr sehr viele Zertifikate von Symantec eingesetzt und eine Sperrung wäre eine Katastrophe. Letztendlich würde es aber mal aufzeigen auf was für dünnem Eis sich sehr viele Kunden bewegen.

    Wäre ich google, hätte ich Symantec schon lange aufgekauft und daraus eine kostenlose Zertifizierungsstelle gemacht.

  9. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: Schattenwerk 22.01.17 - 10:05

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Das stelle ich auch ja nicht in Frage, aber auch example.com ist eher ein
    > Name den man internen Testdomains gibt.

    Dann nimmt man ein example.symantec.com sofern das die Herren bei Symantec geistig nicht vollkommen überfordert und nicht eine legitime Domain. Wenn man eine reine Top-Level-Domain benötigt, dann gibt man die paar Dollar aus und registriert sich eine.

    > Kurzum, irgendein Techniker brauchte mal ein Zertifikat zum testen und hat
    > nicht nachgedacht. Und ob das "reicht" sich mit einem Konzern von der Größe
    > Symantecs anzulegen weiss ich nicht.

    Ja reicht es. Wir sprechen hier nicht von einem 10 Personen-Laden sondern von einem Unternehmen einer etwas anderen Größe. Dort hat man andere Verpflichtungen, welche man einhalten muss.

    Als Unternehmen dieser Größe und mit dieser Stellung hat man dafür zu sorgen, dass entweder entsprechende Warnmeldungen existieren und/oder die Mitarbeiter haben geschult zu sein. Mit abschließender Unterschrift auf einem Wisch, dass sie bei verstoß mit X oder Y zu rechnen haben.

  10. Re: Warum wird Symantec nicht rausgeschmissen?

    Autor: Schattenwerk 22.01.17 - 10:07

    Wieso sollte man sich so einen Klotz ans Bein binden? Zum anderen wird der Gesamtwert 2016 (laut wikipedia) auf über 11 Milliarden USD geschätzt. Das legt Google mal nicht eben so auf den Tisch. An Symantec hängt ja viel mehr als nur eine SSL-Abteilung.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OSRAM GmbH, München
  2. JENOPTIK AG, Jena
  3. BSI Systeme GmbH, Mönchengladbach
  4. Compana Software GmbH, Feucht

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. LG OLED 65E8LLA für 1.777€ statt 2.077€ im Vergleich)
  2. (u. a. Days Gone - Special Edition für 39€ und Forza Horizon 3 für 15€)
  3. 139€
  4. (u. a. AMD Ryzen + ASUS-X570-Mainboard kaufen und bis zu 125€ sparen)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geothermie: Wer auf dem Vulkan wohnt, muss nicht so tief bohren
Geothermie
Wer auf dem Vulkan wohnt, muss nicht so tief bohren

Die hohen Erwartungen haben Geothermie-Kraftwerke bisher nicht erfüllt. Weltweit setzen trotzdem immer mehr Länder auf die Wärme aus der Tiefe - nicht alle haben es dabei leicht.
Ein Bericht von Jan Oliver Löfken

  1. Nachhaltigkeit Jute im Plastik
  2. Nachhaltigkeit Bauen fürs Klima
  3. Autos Elektro, Brennstoffzelle oder Diesel?

Innovationen auf der IAA: Vom Abbiegeassistenten bis zum Solarglasdach
Innovationen auf der IAA
Vom Abbiegeassistenten bis zum Solarglasdach

IAA 2019 Auf der IAA in Frankfurt sieht man nicht nur neue Autos, sondern auch etliche innovative Anwendungen und Bauteile. Zulieferer und Forscher präsentieren in Frankfurt ihre Ideen. Eine kleine Auswahl.
Ein Bericht von Dirk Kunde

  1. E-Auto Byton zeigt die Produktionsversion des M-Byte

Programmiersprache: Java 13 bringt mehrzeilige Strings mit Textblöcken
Programmiersprache
Java 13 bringt mehrzeilige Strings mit Textblöcken

Die Sprache Java steht im Ruf, eher umständlich zu sein. Die Entwickler versuchen aber, viel daran zu ändern. Mit der nun verfügbaren Version Java 13 gibt es etwa Textblöcke, mit denen sich endlich angenehm und ohne unnötige Umstände mehrzeilige Strings definieren lassen.
Von Nicolai Parlog

  1. Java Offenes Enterprise-Java Jakarta EE 8 erschienen
  2. Microsoft SQL-Server 2019 bringt kostenlosen Java-Support
  3. Paketmanagement Java-Dependencies über unsichere HTTP-Downloads

  1. Open Source: NPM-Chef geht schon nach wenigen Monaten wieder
    Open Source
    NPM-Chef geht schon nach wenigen Monaten wieder

    Nach nicht einmal einem Jahr Dienstzeit ist der Chef von NPM zurückgetreten. Das Unternehmen mit dem gleichnamigen Javascript-Paketmanager hat in diesem Jahr einige Mitarbeiter verloren, Arbeitnehmerklagen verhandeln müssen und eine aussichtsreiche Konkurrenz bekommen.

  2. Google: Chrome soll bessere Tab-Verwaltung bekommen
    Google
    Chrome soll bessere Tab-Verwaltung bekommen

    Der Chrome-Browser von Google soll künftig noch einfacher nutzbar sein. Die Entwickler setzen dafür Verbesserungen an der Tab-Verwaltung um. Links sollen sich einfach vom Smartphone auf den Rechner übertragen lassen und der Browser soll individueller werden.

  3. Samsung: Galaxy Fold bleibt extrem empfindlich
    Samsung
    Galaxy Fold bleibt extrem empfindlich

    Die versprochenen Überarbeitungen von Samsung an dem Falt-Smartphone Galaxy Fold, scheinen nach dem missglückten Marktstart doch nicht weitreichend genug zu sein. Eine offizielle Pflegeanleitung zeigt, wie empfindlich das Gerät weiterhin ist.


  1. 12:30

  2. 11:51

  3. 11:21

  4. 10:51

  5. 09:57

  6. 19:00

  7. 18:30

  8. 17:55