Das Wichtigste in Kürze:
- Vertrauensverlust für Symantec-Zertifikate: 2018 wurden Millionen von SSL/TLS-Zertifikaten von Symantec und seinen Marken wie Thawte, GeoTrust und RapidSSL von Browsern als unsicher eingestuft.
- Bedeutung für die IT-Sicherheit: Abgelaufene oder falsch konfigurierte Zertifikate können Websites lahmlegen und Angriffsflächen bieten, was den kontinuierlichen Überblick über Zertifikate essenziell macht.
- Lösungsansatz mit Docusnap: Eine umfassende IT-Dokumentation hilft, Zertifikate zu verwalten, Schwachstellen frühzeitig zu erkennen und Compliance-Vorgaben einzuhalten.
Rückblick: Was 2018 mit Symantec-Zertifikaten geschah
Im Jahr 2018 verloren Millionen von SSL/TLS-Zertifikaten von Symantec und seinen Tochterunternehmen (Thawte, GeoTrust, RapidSSL) ihr Vertrauen in gängigen Browsern wie Google Chrome, Mozilla Firefox und Safari. Der Grund: Mehrere Sicherheitsmängel und Missmanagement in der Zertifikatsvergabe führten dazu, dass Google und Mozilla Symantec als Zertifizierungsstelle nicht mehr akzeptierten. Webseiten, die ihre Zertifikate nicht rechtzeitig ersetzten, wurden als „unsicher“ eingestuft, was Vertrauen und Erreichbarkeit beeinträchtigte.
Symantec vs. Google: Warum Google Symantec SSL-Zertifikate als unsicher einstufte
Grund für diese Entscheidung waren zahlreiche Sicherheitsprobleme bei Symantec. Das Unternehmen hatte über Jahre hinweg fehlerhafte Zertifikate ausgestellt, was Hackern potenziell Tür und Tor öffnete.
Bereits 2015 hat Google Symantec abgemahnt, als ans Licht kam, dass sie falsche Zertifikate für google.com ausgestellt haben. Daraufhin forderte Google Symantec auf, sein Certificate-Transparency-Modell (CT) zu unterstützen. CT ist ein kryptographisch gesichertes Logbuch aller CA-Aktivitäten, dessen Einträge sich nachträglich nicht mehr ändern lassen. Das alleine schützte zwar noch nicht vor Missbrauch, mit Certificate Transparency ließen sich aber einfach und schnell fälschlich ausgestellte Zertifikate aufspüren. So wurde damit auch aufgedeckt, dass Symantec im Jahr 2017 erneut unbefugt Zertifikate ausstellte. Diesmal sogar über hundert Stück.
Zwar beteuerte Symantec, dass es durch oben genannte Zertifikate zu keinerlei Sicherheitsvorfällen gekommen sei und alle Zertifikate innerhalb kürzester Zeit wieder zurückgezogen wurden. Dennoch hat Google 2017 entschieden, den Symantec-CAs auf Grund dieser zahlreichen, anhaltenden Sicherheitsprobleme und Regelverstöße nicht mehr zu vertrauen. Dies geschah in Google Chrome in zwei Schritten: ab März 2018 führten Zertifikate, die vor Juni 2016 von Symantec ausgestellt wurden, zu einer Sicherheitswarnung. Seit September 2018 werden werden alle Webseiten, die noch alte Symantec-Zertifikate für HTTPS nutzen, mit dem Warnhinweis "unsicher" im Browser versehen.
Andere Anbieter von Browsern, darunter zum Beispiel Mozilla, folgten dem Beispiel von Google.
Symantec verkaufte Zertifikatssparte an DigiCert
Symantec zog daraufhin Konsequenzen und verkaufte seinen kompletten Geschäftsbereich Website Security & PKI-Lösungen an seinen Mitbewerber DigiCert. Dieser baute eine neue technische Infrastruktur auf, mit der er seit Anfang 2018 die Validierung und Ausstellung für alle SSL/TLS-Zertifikate von Symantec durchführt. Die daraus resultierenden Symantec-/DigiCert-Zertifikate wurden darauf hin auch von Google wieder als vertrauenswürdig eingestuft.
Auch Zertifikate anderer Namen waren betroffen
Was vielen IT-Administratoren bei Bekanntwerden des Skandals nicht bewusst war: Symantec hatte seine Zertifikate unter verschiedenen Markennamen verkauft. Dazu zählten Zertifikate unter den Marken Equifax, Geotrust, RapidSSL, Thawte und Verisign.
Was bedeutet das für IT-Administratoren heute?
Dieser Vorfall zeigt, wie kritisch das Thema Zertifikatsmanagement für Unternehmen ist. Wer damals nicht rechtzeitig reagierte, hatte mit Sicherheitswarnungen, verlorenen Besuchern und Vertrauensverlust zu kämpfen. Doch auch heute gibt es immer wieder Probleme mit SSL-Zertifikaten:
- Abgelaufene Zertifikate führen zu Ausfällen: Microsoft Teams fiel 2020 aufgrund eines abgelaufenen Zertifikats aus.
- Fehlkonfigurationen können Sicherheitslücken schaffen: Ein falsch hinterlegtes Zertifikat kann eine Website oder einen internen Dienst unverschlüsselt erreichbar machen.
- Neue Sicherheitsanforderungen und kurze Laufzeiten: Seit 2020 sind Zertifikate maximal 397 Tage gültig, was regelmäßige Erneuerungen erforderlich macht.
Warum eine Zertifikatsverwaltung essenziell ist
Viele Unternehmen verlassen sich auf manuelle Prozesse zur Verwaltung ihrer SSL-Zertifikate – doch das birgt Risiken. Ohne ein strukturiertes Management kann es passieren, dass Zertifikate übersehen, falsch konfiguriert oder zu spät erneuert werden.
Mit einer Lösung wie Docusnap lässt sich die IT-Infrastruktur vollständig dokumentieren und durch Informationen wie dem Ablaufdatum von SSL/TLS-Zertifikate ergänzen. So können IT-Teams:
✔ Alle Zertifikate an einem Ort erfassen
✔ Ablaufdaten im Blick behalten und rechtzeitig erneuern
✔ Schwachstellen und unsichere Konfigurationen erkennen
Fazit: Zertifikate sind kein "Set and Forget"-Thema
Der Symantec-Skandal war ein Weckruf für die IT-Welt: SSL-Zertifikate müssen aktiv verwaltet und überwacht werden. Wer sich darauf verlässt, dass einmal ausgestellte Zertifikate dauerhaft sicher sind, riskiert Sicherheitslücken und Betriebsunterbrechungen. Moderne IT-Dokumentationslösungen wie Docusnap helfen dabei, den Überblick zu behalten und potenzielle Probleme frühzeitig zu erkennen.
Jetzt testen: Haben Sie den vollen Überblick über Ihre SSL/TLS-Zertifikate?
Nutzen Sie Docusnap, um Ihre IT-Infrastruktur transparent zu dokumentieren und Zertifikatsrisiken zu minimieren. Jetzt 30 Tage lang kostenfrei und unverbindlich bei vollem Funktionsumfang testen!
