Der Krieg der Zertifikate

Google ist sauer. Und wenn Google so richtig böse ist, wird gerne Chrome, der Marktführer im Bereich Browser, in die Schlacht geschickt. Dieses Mal geht es um Zertifikate, Grundstein des Internets und der Datensicherheit. Mit den neuen Chrome-Versionen 66 (kommt im April) und 70 (Oktober) will Google das Netz sicherer machen – und vielleicht auch alte Rechnungen begleichen. Weshalb bald viele Seiten offiziell „nicht sicher“ sein werden, sie in der Google-Suche von den Top-Plätzen verschwinden und warum man sich mit Google nicht anlegen sollte, lesen Sie hier!

Google will das Netz sicherer machen. Das mag zu einem gewissen Grad Eigennutz sein (quasi Produktpflege), aber sie besetzen auch bewusst eine Lücke. Da das Internet international und dezentral ist, gibt es keine mächtige, zentrale Kontrollinstanz, die es leitet. Daher finden sich immer wieder Firmen oder Staaten für Aktionen zusammen oder ein Gigant (hier: Google) drückt etwas in Eigeninitiative durch. Zuerst wird Seiten ohne HTTPS-Verschlüsselung der Kampf angesagt. HTTPS-Verschlüsselungen sorgen dafür, dass Daten möglichst abhörsicher übertragen werden können.

Ohne Verschlüsselung sind Daten, die über das Internet übertragen werden, für jeden, der Zugang zum entsprechenden Netz hat, als Klartext lesbar. Das erleichtert das unbefugte Mitlesen (Man-in-the-Middle) massiv. Mit HTTPS wird zwischen Webserver (also z.B. einer Internetseite) und Ihrem Browser eine verschlüsselte Verbindung erstellt, die nur schwer knackbar ist. Mit der Authentifizierung durch HTTPS weiß man hingegen, dass man sich wirklich auf der gewünschten Seite befindet und z.B. auf keiner gefälschten Phishing-Seite. Klicken Sie auf einer solchen Seite oben im Browser (links neben der Internet-Adresse) auf das Schloss, sehen Sie nähere Details zu dem Zertifikat und dessen Besitzer.

Früher war das HTTPS-Zertifikat eine Art Statussymbol. Die großen Shops hatten es, auch Banken und Behörden. Der Rest schickte stille Stoßgebete gen Himmel und hoffte das Beste. Die Zertifikate waren teuer und schwer einzurichten, kleine Seiten scheuten schlicht den Aufwand oder konnten es sich nicht leisten. In den letzten Jahren wurde HTTPS immer billiger, bis zuletzt die Aktion Let´s Encrypt sogar Zertifikate umsonst ausgab. Google, Mozilla und die Electronic Frontier Foundation machten es möglich, nun konnte jeder seine Seite absichern. Ganze 63 Millionen Domains versorgten sich mit kostenlosen Zertifikaten. Also alles gut?

Nicht ganz, denn mindestens 30% aller Seiten können oder wollen noch nicht mitmachen. Manche Web-Hoster (Firmen, die u.a. den Platz für Webseiten zur Verfügung stellen) akzeptieren nur die teuren Kauf-Zertifikate – man möchte es sich wohl nicht mit deren Herstellern verderben. Oder die Seitenbetreiber haben schlicht keinen Antrieb – was ich bei reinen Hobby-Seiten sogar verstehen könnte. Google zieht aber nun die Daumenschrauben an. Kommt man auf eine solche Seite, erscheint bald ein fettes „Not Secure“ (nicht sicher), was viele Nutzer hinlänglich verschrecken dürfte. Firefox macht macht ab Version 60 mit, andere Browser-Produzenten werden wohl mitziehen. Und als würde das noch nicht reichen, werden die HTTPS-Muffel bei Google nicht mehr in den vorderen Rängen der Suchergebnisse erscheinen. Und wie wir alle wissen: Auf Seite 2 der Google-Ergebnisse schaut niemand!

Eine fast schon persönliche Angelegenheit ist der aktuelle Clash zwischen Google und Symantec. Der Zertifikatshersteller Symantec hat, das kann man wohl objektiv sagen, nicht immer sauber gearbeitet. Als man intern drei Zertifikate in Googles Namen ausstellte (wovon Google nichts wusste), gab es schon 2015 einen schweren Rüffel. 2017 kritisierte Google, dass Symantec über 30000 Zertifikate nicht korrekt ausgestellt hat. Man hatte die Kunden nicht genau überprüft, obwohl Zertifikate nur an vertrauenswürdige Kunden ausgestellt werden dürfen. Andere wurden vergeben, obwohl der Kunde gar nicht Besitzer der Domain war. Kaum auszudenken, was ein Verbrecher z.B. mit dem Zertifikat einer Bank oder eines großen Shops alles anstellen könnte!

Auch hier wird der Vertrauensverlust von Google derbe Konsequenzen haben. Ab 17. April werden die Nutzer gewarnt, wenn Chrome auf ein Symantec-Zertifikat trifft, das vor dem 1. Juni 2016 ausgestellt wurde. Die Verbindung sei nicht sicher und könne von Dritten abgefangen werden. Wenn dies z.B. einem Shop passiert, kann er einpacken. Wer möchte dann noch seine Bankverbindung oder Kreditkarten-Daten übermitteln? Im Oktober wird weiter eskaliert, gesperrt wird wohl (noch) nichts, aber eindringlich vor der Nutzung gewarnt. Es ist anzunehmen, dass sich dann auch die Platzierungen in der Google-Suche verschlechtern. Bislang sind Namen wie Spiegel Online, das Bundesfinanzministerium, die Stadt Nottingham, Tesla und andere betroffen, hier wird man gerade hektisch aktiv werden.

Wie immer im Internet, sind die Reaktionen gemischt. Die eine Partei lobt Google dafür, mehr Sicherheit für die Nutzer einzufordern. Sie werfen Symantec vor, den „Heiligen Gral“ der Zertifikate (wenn man so will: den Personalausweis der Internet-Seiten) massiv in Verruf gebracht zu haben. Wem kann noch trauen, wenn selbst ein HTTPS keine Sicherheit mehr bringt? Andere werfen Google vor, mit solchen Aktionen schlicht seine Kompetenzen zu überschreiten. Sie unterstellen Google, damit von eigenen Problemen abzulenken, speziell die Datensicherheit sei bei den eigenen Produkten verbesserungswürdig. Und überhaupt: Sicher hat Google enorme Marktmacht, aber wer hat die Firma zum Sheriff der Stadt ernannt? Hat Google das Recht, Millionen Internetseiten schlechter zu stellen und eine Firma wie Symantec, die über 11000 Mitarbeiter hat, so massiv anzugreifen? Heiligt hier der Zweck die Mittel?

Wie denken Sie darüber?