[English]Google hat zum 2. Mai 2022 das Update des Google Chrome 101.0.4951.54 für Windows und Mac auf dem Desktop im Stable Channel freigegeben (siehe Chrome 101.0.4951.54 fixt GPO-Bug). Diese Build fixt zwar das Gruppenrichtlinien-Problem (siehe Kommentare zum Beitrag Chrome 101.0.4951.41 fixt 30 Schwachstellen, hat aber GPO-Bug). Aber die Version 101.0.4951.54 hat ein Problem mit manchen Zertifikaten. Nutzer bekamen ein ERR_CERTIFICATE_TRANSPARENCY_REQUIRE angezeigt. Inzwischen sollte dieser Fehler aber durch eine Änderung behoben sein.
Anzeige
Benutzermeldungen zu Zertifikatsfehlern
Blog-Leser Constantin L. hat mich gestern darauf hingewiesen (danke für den Hinweis). Auf reddit.com hat sich ein Benutzer diesbezüglich mit folgendem Post gemeldet.
All of the sudden seeing Chrome error. ERR_CERTIFICATE_TRANSPARENCY_REQUIRE
We started running in to this on chrome Version 100.0.4896.127 (Official Build) (64-bit) but it persists with Version 101.0.4951.54 (Official Build) (64-bit). Also saw a tweet with a similar issue just come up. Is anyone else seeing this issue?
Hier der erwähnte Tweet, wobei weitere Nutzer den Sachverhalt auf Twitter bestätigen.
Auch im Reddit-Thread bestätigen Nutzer, dass sie Zertifikatfehler sehen. Tritt beispielsweise bei Webseiten wie bitbucker.com, pluralsight.com etc. auf. Im Google Bug-Tracker gibt es diesen Eintrag (Issue 1321874: SSL Transparency errors after Chrome updated to latest version) vom 2. Mai 2022, der den Zertifikatsfehler anspricht. Ein weiterer Bug-Report findet sich hier.
Google zieht Richtlinie zurück
In diesem Post habe Chromium-Entwickler bereits Anfang April 2022 bekannt gegeben, dass man ab dem 1. Mai 2022 verschiedene Google CT-Protokolle (Zertifikatsprotokolle) abschalten werde. Das Dokument beschreibt die Implikationen, die diese Deaktivierung bestimmter logs hat.
Inzwischen steht das Issue 1321874 auf fixed. Ein Projektmitglied des Chromium-Teams hat dazu folgendes gepostet:
Thank you for bringing this to our attention, and my apologies for the erroneous warnings. We have temporarily reverted this policy change, and it should no longer be impacting users.
However, if you operate a site that was impacted, we encourage you to replace your certificates with newly-issued ones to prevent recurrence of this issue in the future.
I've posted additional details to Chromium's ct-policy@ mailing list here:
https://groups.google.com/a/chromium.org/g/ct-policy/c/P3_hj9QmsLc
We will share additional information and next steps as soon as we're able to do so.
In der Mailing-List heißt es unter "Temporary rollback of recent Google log retirements", dass Google nach der angekündigten Abschaffung der nicht-zeitlich gesplitteten Protokollen auf eine Reihe von Zertifikaten aufmerksam wurde, die nicht mehr der CT-Richtlinie von Chrome entsprachen. Das führte bei Chrome-Nutzern beim Besuch von Websites, die diese Zertifikate verwendeten, zu TLS-Fehlern.
Anzeige
Um dieses Problem vorübergehend zu entschärfen, setzt Chrome die betreffenden Protokolle mit sofortiger Wirkung auf "ReadOnly" um. Die Liste der Protokolle und weitere Details werden im Eintrag der Mailing-Liste beschrieben. Die Zertifikatsfehler sollten daher im Chrome-Browser nicht mehr auftreten.
2015
Verstehe es noch nicht ganz, wurde das Problem durch eine neue Version von Google Chrome oder war diese Lösung irgendwie "serverseitig" bei Google?
Falls zweiteres, könnte also Google jederzeit zentral irgendwelche "Zertifikatsprotokolle" und damit alle Server, die solche verwenden, deaktivieren?
Das Ganze trat wohl mit der neuen Version auf, scheint aber serverseitig beeinflussbar zu sein – so meine Interpretation – denn es gab bisher m.W. kein Update des Chrome.
Google kann auf allen Chrome-Instanzen eigene Policies ausrollen, auf die unsereins keinen Einfluss hat.
Also mein Chromium unter Debian wird 100% aus den Quellen von Debian gebaut ohne irgendwelches Zeug, das dynamisch aus dem Netz gesaugt wird. Das wäre ja sonst Microsoftniveau.
Chromium ≠ Chrome.
Was diese Funktion betrifft, werden sie identisch sein.