Google hat eine weitreichende Entscheidung getroffen, die die digitale Sicherheitslandschaft nachhaltig verändern wird. Ab August 2025 werden die Root-Zertifikate von Chunghwa Telecom und Netlock aus dem Chrome Root Store entfernt, was bedeutet, dass Millionen von Websites weltweit ihre SSL-Zertifikate erneuern müssen. Diese drastische Maßnahme erfolgt aufgrund wiederholter Sicherheitsverletzungen und der mangelnden Bereitschaft beider Anbieter, notwendige Verbesserungen umzusetzen.
Technische Auswirkungen der Chrome-Änderungen
Die Änderungen treten mit Google Chrome Version 139 in Kraft, deren Veröffentlichung für den 1. August 2025 geplant ist. Danach werden Nutzer beim Besuch von Websites, die Zertifikate der betroffenen Zertifizierungsstellen verwenden, die Warnung „Ihre Verbindung ist nicht sicher“ angezeigt bekommen. Diese Maßnahme betrifft nicht nur Desktop-Nutzer, sondern alle Chrome-basierten Browser und Anwendungen.
Laut Google-Vertretern war diese einschneidende Entscheidung unvermeidlich, da beide Organisationen trotz mehrfacher Warnungen und Sicherheitsvorfälle keine ausreichenden Fortschritte bei der Systemmodernisierung zeigten. Die kontinuierlichen Betriebsstörungen und das Versäumnis, Sicherheitsstandards einzuhalten, machten das Vertrauen in diese Zertifizierungsstellen unhaltbar.
Betroffene Zertifizierungsstellen im Detail
Chunghwa Telecom: Taiwans größter Telekommunikationsanbieter
Als führender Telekommunikationskonzern Taiwans betreibt Chunghwa Telecom zwei bedeutende öffentliche Zertifizierungsstellen: ePKI und HiPKI. Diese Dienste waren besonders in der asiatisch-pazifischen Region weit verbreitet und stellten digitale Zertifikate für sichere Webkommunikation bereit. Der Verlust des Chrome-Vertrauens wird erhebliche Auswirkungen auf die digitale Infrastruktur in Taiwan und anderen asiatischen Märkten haben.
Netlock: Europäischer Zertifizierungsdienstleister aus Ungarn
Die ungarische Netlock Kft. etablierte sich als wichtiger Anbieter digitaler Zertifizierungsdienste in Europa. Ihr bekanntester Service, die Arany (Gold Class) Root-Zertifizierungsstelle, genoss breite Akzeptanz in Ungarn und benachbarten EU-Ländern. Das Unternehmen bot ein vollständiges Spektrum an Diensten, einschließlich elektronischer Signaturen, Zeitstempel und SSL/TLS-Zertifikate für Unternehmen und Behörden.
Handlungsempfehlungen für Website-Betreiber
Website-Administratoren, die Zertifikate der betroffenen Anbieter verwenden, müssen umgehend handeln. Obwohl Chrome-Nutzer die Sicherheitswarnungen umgehen können, wird dies das Nutzervertrauen erheblich beeinträchtigen und zu sinkenden Besucherzahlen führen. E-Commerce-Sites und andere geschäftskritische Webanwendungen sind besonders gefährdet.
Experten empfehlen eine sofortige Migration zu vertrauenswürdigen Zertifizierungsstellen, die im Chrome Root Store verbleiben. Alternativ können Unternehmen in geschlossenen Netzwerken die entsprechenden Root-Zertifikate als lokal vertrauenswürdig auf ihren Geräten installieren. Diese Lösung ist jedoch nur für interne Unternehmensanwendungen praktikabel.
Langfristige Auswirkungen auf die Cybersicherheitsbranche
Googles Entscheidung signalisiert eine neue Ära strengerer Sicherheitsstandards in der Zertifizierungsbranche. Die Botschaft ist eindeutig: Nachlässigkeit bei der Sicherheit und mangelnde Transparenz werden nicht toleriert, unabhängig von der Größe oder dem Marktanteil einer Zertifizierungsstelle. Diese Entwicklung folgt ähnlichen Maßnahmen gegen andere problematische Anbieter in der Vergangenheit.
Der Präzedenzfall verdeutlicht die wachsende Macht der großen Browser-Hersteller bei der Gestaltung der Internet-Sicherheitsstandards. Zertifizierungsstellen müssen nun proaktiver in ihre Sicherheitsinfrastruktur investieren und transparenter über Sicherheitsvorfälle kommunizieren. Website-Betreiber sollten ihre Zertifikatsstrategie regelmäßig überprüfen und diversifizieren, um ähnliche Störungen in der Zukunft zu vermeiden. Die frühzeitige Planung und Implementierung robuster Zertifikatsverwaltungsprozesse wird zu einem entscheidenden Wettbewerbsvorteil in der digitalen Wirtschaft.
