Immer wenn du eine verschlüsselte HTTPS-Verbindung zu einer Webseite nutzt, ist dabei ein so genanntes "Zertifikat" im Spiel. Dadurch wird bestimmt, wie genau die Verschlüsselung durchgeführt wird.

Dabei hat das Zertifikat zwei wichtige Aufgaben:

• Es bestimmt das (sinngemäße) Kennwort, das für die Verschlüsselung genutzt werden soll. Im Normalfall kann nur der empfangende Webserver mit dem Zertifikats-Schlüssel codierte Anfragen lesen. Ein unerwünschter Mitleser, der sich z.B. in deinem WLAN aufhält kann hingegen nicht herausfinden, welche Daten übertragen werden.
• Außerdem fungiert das Zertifikat als eine Art Ausweis, mit dem du die Echtheit der Gegenstelle prüfen kannst. Ein Angreifer könnte versuchen, alle deine Anfragen an deine Bank auf eine beliebige andere Seite umzuleiten. Wenn du dann dort dein Passwort eingibst erfolgt die Übertragung dann zwar verschlüsselt, allerdings ist der Server der Gegenseite nicht vertrauenswürdig und kann mit deinem Passwort dann in deinem Namen agieren. Und deswegen enthält das Zertifikat auch Informationen über die ausgebende Stelle, welche sich nicht ohne weiteres fälschen lassen. Dadurch kannst du (oder dein Browser) genau prüfen, ob die Gegenseite auch wirklich das ist, was sich hinter der URL verbergen sollte.

Und genau in Bezug auf diese Ausweisfunktion streitet sich Google mit Symantec: Im Oktober 2015 musste Symantec zugeben, dass einige Mitarbeiter auf eigene Faust (und angeblich zu Testzwecken) nicht autorisierte Zertifikate im Namen von Google erstellt haben. Damit wäre es technisch kein Problem gewesen, schädliche Seiten zu erstellen die sich aus Sicht eines Browsers nicht von legitimen Google-Seiten unterscheiden lassen. Um den Schaden in solchen Situationen möglichst klein zu halten, fordert Google jetzt drastische Maßnahmen von Symantec: Man soll dort nur noch Zertifikate mit einer vergleichsweise kurzen Lebensdauer ausstellen. Symantec-Kunden müssen dadurch ihre Webserver häufiger warten, was dem Unternehmen natürlich nicht gefällt. Allerdings hat Google mit seinem Chrome-Browser eine nicht zu unterschätzende Marktmacht, die man in diesem Fall auch einsetzt: Sofern sich Symantec den verordneten verkürzten Laufzeiten nicht beugt, wird man in Erwägung ziehen in Chrome Symantec-Zertifikate als weniger vertrauenswürdig einzustufen. Das würde je nach Land etwa 40% aller Browser-Nutzer betreffen, die dann auf Seiten mit von Symantec ausgegebenen Zertifikaten Probleme haben werden.