Zertifikate sind ein wesentlicher Baustein der Internet-Sicherheit. Sie stellen für den Kunden sicher, dass sein Geschäftspartner im Netz wirklich der ist, der er zu sein behauptet. Unternehmen installieren Zertifikate auf ihren Servern, um ihren Kunden genau das zu garantieren und deren Vertrauen zu gewinnen.

Dahinter steckt ein komplexes System von Organisationen, die sich gegenseitig vertrauen und dieses Vertrauen kryptografisch abbilden. Wenn in diesem System irgendetwas nicht ganz rund läuft, kann das ernste Folgen für jedes Unternehmen haben, das im Internet Waren oder Dienstleistungen anbietet. Wer das tut, betreibt Server, und die sind in der Regel mit Zertifikaten abgesichert. Ein großer Teil aller Zertifikate stammt von Symantec. Und genau denen hat Google gerade das Vertrauen entzogen, weil Symantec nach Ansicht von Google schlampig arbeitet.

Damit der Vertrauensentzug nicht allzu dramatische Folgen hat, soll er sich aber erst nach und nach abgestuft bemerkbar machen. Als erste Maßnahme will Google im hauseigenen Browser Chrome den Zertifikaten die höchste Vertrauensstufe entziehen. Im Laufe der nächsten Monate will Google die Maßnahmen verschärfen und die Laufzeit von Symantec-Zertifikaten nach und nach auf schließlich neun Monate heruntersetzen. Der Streit zwischen Google und Symantec schwelt schon länger. Im September 2015 hatte Google sich beschwert, weil Symantec ein falsches Zertifikat für google.com ausgestellt hatte. Im Oktober 2015 forderte Google Symantec ultimativ auf, die Initiative “Certificate Transparency” zu unterstützen. Schon damals wurde angedroht, Symantec-Zertifikate abzuwerten. Das will Google jetzt schrittweise in die Tat umsetzen.

Bis eine größere Anzahl von Endkunden wahrnimmt, dass da etwas im Busch ist, wird es noch eine Weile dauern. Inhaber von Symantec-Zertifikaten sollten sich trotzdem jetzt schon um das Thema kümmern. Denn je nach Größe der betroffenen IT-Systeme bedeutet es erheblichen Aufwand, die Zertifikate zu ersetzen.