Symantec Neuausgabe

Aufgrund mehrerer Vorfälle bei der Ausgabe von Symantec-Zertifikaten in den letzten Jahren haben Google und Mozilla das Vertrauen in Symantecs Zertifikatausgabe verloren. Inzwischen ist eine Einigung erzielt worden: die SSL-Abteilung wird von DigiCert übernommen, dies bedeutet, dass Symantec-Zertifikate von Google Chrome und Mozilla Firefox weiterhin vertraut werden. Ab 1. Dezember 2017 können Sie kostenlos die Zertifikate von Symantec, GeoTrust und Thawte erneut auszustellen, damit Sie weiterhin von diesen Browsern vertraut bleiben.

Auswirkungen auf Zertifikate in Google Chrome

Am 11. September 2017 kündigte Google seinen endgültigen Plan an, die Unterstützung für Symantec-Zertifikate zu beenden. Chrome ist der am weitesten verbreitete Browser weltweit und es wird erwartet, dass andere Browser zusätzlich zu Mozilla Firefox auch diese Politik übernehmen werden.

Symantec-, GeoTrust-und Thawte-Zertifikate, die unter dem alten Verisign-Stamm ausgestellt wurden, werden in Google Chrome je nach Ausgabedatum nicht mehr vertrauenswürdig sein. Dies hat keine Auswirkungen auf Zertifikate von Comodo oder GlobalSign. Zertifikate von Symantec, GeoTrust und Thawte benötigen eine kostenlose Neuausgabe, um vom Browsern vertraut zu werden:

  • Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, werden nicht mehr vertraut von Chrome ab Version 66 vom 15. März 2018. Diese Zertifikate müssen zwischen dem 1. Dezember 2017 und dem 15. März 2018 erneut ausgestellt werden.
  • Zertifikate, die zwischen dem 1. Juni 2016 und dem 1. Dezember 2017 ausgestellt wurden, werden nicht mehr vertraut von Chrome ab Version 77 vom 13. September 2018. Diese Zertifikate müssen zwischen dem 1. Dezember 2017 und dem 13. September 2018 erneut ausgestellt werden.

Symantec Google Timeline

DigiCert stellt ab dem 1. Dezember 2017 Symantec-Zertifikate aus. Symantec-Zertifikate, die ab sofort über die neue Infrastruktur von DigiCert bereitgestellt werden, werden vollständig von zukünftigen Chrome-Versionen unterstützt.

Auswirkungen auf Zertifikate in Mozilla Firefox

Da Firefox die Unterstützung zu einem späteren Zeitpunkt entzieht, verwenden wir den Chrome-Zeitplan als Referenz. Der Mozilla-Zeitplan ist wie folgt:

  • Ab Januar 2018 (Firefox Version 58) wird in der Developeransicht ein Warnung für Symantec-Zertifikate ausgegeben die vor dem 1. Juni 2016 veröffentlicht wurden.
  • Ab Mai 2018 (Firefox Version 60) zeigen Websites eine unsichere Verbindung bei Symantec-Zertifikaten die vor dem 1. Juni 2016 ausgestellt wurden.
  • Ab Oktober 2018 (Firefox Version 63) sind alle Symantec-Zertifikate, die von der alten PKI-Infrastruktur (vor dem 1. Dezember 2017) ausgestellt wurden, nicht mehr vertrauenswürdig.

Austauschverfahren

Ab 1. Dezember 2017 können Sie mit der Neuausstellung der Zertifikate beginnen:

  • Im Kontrollpanel finden Sie die Zertifikate, die ab Anfang Dezember erneut ausgestellt werden müssen. Das spätest mögliche Neuausstellungsdatum wird ebenfalls angezeigt. Darüber hinaus senden wir Ihnen alle Informationen per E-Mail, wenn Sie über Zertifikate verfügen, die erneut ausgestellt werden müssen.
  • Wählen Sie für jedes zu ersetzende Zertifikat die Option Neuausgabe im Kontrollpanel. Es empfiehlt sich, hierfür einen neues CSR anzulegen. Alternative können Sie das alte CSR wiederverwenden, welches Sie ebenfalls im Kontrollpanel finden.

Durch dieses Verfahren erhalten Sie ein Zertifikat gleichen Typs und Marke mit dem gleichen Start- und Enddatum, das dann mit dem neuen Digicert-Stammzertifikat signiert ist. Eine Alternative dazu ist der Wechsel zu einer anderen Marke. Wenn Sie uns kontaktieren, können Sie Ihre Zertifikate auch kostenlos auf ähnliche Comodo-Zertifikate umstellen.

Bitte beachten Sie: Wir beziehen uns auf alle gültigen Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden. Möglicherweise gibt es Zertifikate, die vor dem Änderungsdatum abgelaufen sind. Für diese Zertifikate ist eine Verlängerung ausreichend, beginnend 90 Tage vor dem Ablaufdatum. Einige Entwicklungsumgebungen werden früher als die angegebenen Fristen warnen. Auf meisten Website-Besucher wird dies keine Auswirkung haben, falls Sie dies vermeiden möchten, können Sie eine kostenlose Neuausstellung vornehmen. Wenn Sie Zertifikate haben, die vor dem Austauschdatum ablaufen, wird dies durch das Zertifikat im Kontrollpanel deutlich angezeigt.

Validierung

Bei einige Zertifikate ist eine neue Validierung erforderlich - warten Sie daher nicht bis zum letzten Moment mit der Neuausstellung. Millionen von Zertifikaten müssen weltweit ausgetauscht werden, daher mussen Sie mit etwas längere Lieferzeiten rechnen.

  • Bei Domain-Validierungszertifikaten wird die Validierung erneut per E-Mail ausgeführt.
  • Bei Organisations und erweiterter Validierung werden die Daten des Unternehmens überprüft, wenn diese Prüfung vor mehr als 27 Monaten zum Zeitpunkt der erneuten Veröffentlichung abgeschlossen wurde.

Installation

Nach der Neuausstellung erhalten Sie eine E-Mail mit dem Ersatzzertifikat und CA-Zertifikaten zur Installation auf Ihrem Webserver. Die neuen Stammzertifikate finden Sie im Download-Bereich.

Um die größtmögliche Browserunterstützung zu erhalten, werden die neuen Stammzertifikate mit dem alten Symantec-Stammzertifikat kreuzsigniert.

Probleme zwischen Google und Symantec

Anfang 2017 wurde bekannt, dass mehr Zertifikate zu unrecht von Symantec ausgestellt wurden. Nach der Untersuchung stellte sich heraus, dass die Beaufsichtigung von Partnern, die Zertifikate selbständig unter Symantecs Stammzertifikaten ausstellen durften, in den letzten Jahren nicht ausreichend war. Diese Partner haben Symantec-Zertifikate in einer Weise ausgestellt, die nicht den geltenden Anforderungen entsprachen. Symantec identifizierte keine Mängel rechtzeitig, reagierte laut Google nicht ausreichend und kündigte diese Probleme nicht von sich aus an. Daraufhin gab Google bekannt, dass es die Unterstützung für Symantec-, GeoTrust- und Thawte-Zertifikate in Google Chrome einstellen würde.

Im August 2017 wurde bekannt gegeben, dass die amerikanische Zertifizierungsstelle DigiCert die gesamte PKI-Sparte von Symantec übernehmen wird. Durch die Verwendung dieser Infrastruktur werden die Anforderungen von Google für eine sichere Zertifikatsverwaltung erfüllt, ohne dass Symantec seine veraltete PKI-Infrastruktur ersetzen muss.

DigiCert en Symantec

Nützliche Informationen

Verwandte Nachrichten

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.