Google beendet die Unterstützung von Symantec Zertifikaten, Symantec verkauft SSL-Abteilung an DigiCert

3 August 2017

Ende März 2017 gab Google ihren Plan bekannt, Maßnahmen gegen Symantec zu ergreifen, was zu vielen Problemen für die Unterstützung von Symantec-Zertifikaten in Google Chrome führen würde. Im Anschluss an diese Ankündigung, haben beide Parteien verschiedene Lösungsvorschläge erstellt. Google hat gerade ihren endgültigen Vorschlag zur Unterstützung von Symantec-Zertifikaten in Google Chrome angekündigt. Als Reaktion auf die jüngsten Gespräche und Streitigkeiten zwischen beiden Parteien hat Symantec angekündigt, dass es seine gesamte SSL-Zertifikatsparte an DigiCert verkaufen wird.

Was ist der endgültige Vorschlag von Google?

Wie in einem ihrer Chromium Blog-Beiträge angekündigt, hält Google weiter fest an den früher angekündigten Plan, die Unterstützung von SSL-Zertifikaten von Symantec, Thawte und Geotrust allmählich zu reduzieren. Ab April 2018 (überarbeitet ab August 2017):

  • Ab Chrome Version 66 (April 2018) werden alle Symantec-Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, nicht mehr vertraut.
  • Ab Chrome Version 70 (geplant für September 2018) werden alle Symantec-Zertifikate, die unter der aktuellen PKI Infrastruktur ausgegeben werden, nicht mehr vertraut.

DigiCert erwirbt SSL-Zertifikatsparte von Symantec

Am 2. August wurde bekanntgegeben, dass die Amerikanische Zertifizierungsstelle DigiCert die gesamte SSL-Division von Symantec erwerben wird. DigiCert ist eine relativ junge CA mit einer modernen PKI-Infrastruktur. Das Unternehmen ist im Vergleich zu Symantec mit einem Marktanteil von 2,2% (gegenüber 14%) deutlich kleiner. Durch die Nutzung dieser neuen PKI-Infrastruktur werden die Forderungen von Google erfüllt, ohne dass Symantec ihre aktuelle veraltete PKI-Infrastruktur ersetzen muss. Es ist noch nicht klar, ob DigiCert die Marke Symantec weiterhin für ihre SSL-Zertifikate nutzen wird. Beide Parteien erklären, dass sie diese Zusammenarbeit als Langzeitplan sehen, bewiesen durch die Tatsache, dass Symantec eine Beteiligung an der Stammaktie des DigiCert-Geschäfts hat und dass DigiCert weiterhin Symantec-Mitarbeiter beschäftigt und einen Teil der Büros von Symantec übernimmt . Nach dem aktuellen Plan soll der gesamte Übergang im 4. Quartal 2018 abgeschlossen sein. Beide Parteien haben sich darauf verständigt, sich primär auf einen reibungslosen Übergang für Symantec-Kunden zu konzentrieren.

Was bedeutet das für aktuelle Symantec-Kunden?

Google hat noch keine Aussage über die Akquisitionspläne von DigiCert veröffentlicht. Symantec und DigiCert veröffentlichten keine detaillierten Informationen darüber, wie sie den Übergang zu DigiCert erfüllen werden. Sie haben angekündigt, dass DigiCert als Ersatz-verwaltete CA nach Dezember 2017 fungieren wird. Damit wird sichergestellt, dass die aktuellen Symantec-Kunden ihre Zertifikate erneut ausgeben können. Zusätzliche verwaltete CAs werden möglicherweise als Ersatz-CA benötigt. Für Symantec-Kunden bedeutet dies:

  • Symantec-Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, müssen bis spätestens April 2018 ausgetauscht werden. Dies kann durch Neuausgabe des Zertifikats durch die Ersatz-CA oder durch Ersetzen des Zertifikats durch eine andere Zertifikatsmarke (z. B. Comodo) erfolgen.
  • Vor September 2018 müssen alle Symantec-Zertifikate durch eine neuere, modernisierte PKI-Infrastruktur, z. B. von DigiCert oder einer anderen Marke, neu aufgelegt werden. Dies bedeutet, dass jedes Symantec-Zertifikat, das in kürzester Zeit ausgestellt oder noch über die veraltete PKI-Infrastruktur ausgegeben wurde, ersetzt werden muss, wenn es noch im September 2018 gültig ist.

Mozilla entspricht dem Vorschlag

Mozilla kündigte an, dass sie die gleichen Änderungsimplementierungsdaten für Firefox anstreben, wie Google dies für Chrome tut, wobei Mozilla tatsächlich lieber frühere Termine hätte. Genaue Termine von Mozilla müssen noch definiert werden und werden sobald wie möglich mitgeteilt. Mozilla erwähnt, dass ein gemeinsamer Ansatz zusammen mit den anderen Webbrowsern für sie wichtiger ist als eine frühere Frist.

Ich habe Symantec Zertifikate, was kann ich tun?

Falls Sie Symantec-Zertifikate haben, die vor dem 1. Juni 2016 ausgestellt wurden, informieren wir Sie rechtzeitig im Voraus über die Frist von April 2018 mit Informationen über die Neuausgabeoptionen und (kostenlose) Ersatzangebote. Es wird derzeit erwartet, dass die Neuausstellung von Symantec-Zertifikaten ab Dezember 2017 möglich ist. Alternativ können Sie auch Ihr Symantec-Zertifikat durch eine andere Zertifikatsmarke ersetzen. Mit sofortiger Wirkung können Sie Ihr Symantec-Zertifikat zu einem vergleichbaren Comodo-Zertifikat ohne Aufpreis ändern. Haben Sie interesse die Marke zu wechseln? Zögern Sie nicht uns zu kontaktieren!

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.