Seit März 2018 zeigt Google Chrome Sicherheitswarnungen für Seiten, die mit Zertifikaten gesichert sind, welche von den Symantec-Zertifizierungsstellen (CAs) ausgestellt wurden. Ab September 2018 schließlich will Google diese überhaupt nicht mehr anerkennen. Wer also noch solche Zertifikate im Einsatz hat, sollte jetzt handeln.
Symantec und Google schon länger im Clinch
Bereits 2015 hat Google Symantec abgemahnt, als ans Licht kam, dass sie falsche Zertifikate für google.com ausgestellt haben. Daraufhin forderte Google Symantec auf, sein Certificate-Transparency-Modell (CT) zu unterstützen. CT ist ein kryptographisch gesichertes Logbuch aller CA-Aktivitäten, dessen Einträge sich nachträglich nicht mehr ändern lassen. Das alleine schützt zwar noch nicht vor Missbrauch, mit Certificate Transparency lassen sich allerdings einfach und schnell fälschlich ausgestellte Zertifikate aufspüren. So wurde damit auch aufgedeckt, dass Symantec im Jahr 2017 erneut unbefugt Zertifikate ausstellte. Diesmal sogar über hundert Stück.
Zwar beteuert Symantec, dass es durch oben genannte Zertifikate zu keinerlei Sicherheitsvorfällen gekommen sei und alle Zertifikate innerhalb kürzester Zeit wieder zurückgezogen wurden. Dennoch hat Google 2017 entschieden den Symantec-CAs auf Grund dieser zahlreichen, anhaltenden Sicherheitsprobleme und Regelverstöße nicht mehr zu vertrauen. Dies wird in Chrome in zwei Schritten geschehen: Seit März 2018 führen Zertifikate, die vor Juni 2016 von Symantec ausgestellt wurden, zu einer Sicherheitswarnung. Ab September 2018 werden Symantec-Zertifikate dann überhaupt nicht mehr akzeptiert.
Das bedeutet, dass alle Webseiten, die noch alte Symantec-Zertifikate für HTTPS nutzen, mit dem Google-Browser ab September nicht mehr funktionieren werden!
Und auch andere Browser, darunter zum Beispiel Mozilla Firefox, haben bereits ähnliche Schritte angekündigt.
Symantec verkauft Zertifikatssparte an DigiCert
Symantec hat mittlerweile Konsequenzen gezogen und seinen kompletten Geschäftsbereich Website Security & PKI-Lösungen an seinen Mitbewerber DigiCert verkauft. Dieser hat nun eine neue technische Infrastruktur aufgebaut, mit der er seit Anfang dieses Jahres die Validierung und Ausstellung für alle SSL/TLS-Zertifikate von Symantec durchführt. Die neuen Symantec-/DigiCert-Zertifikate wurden nun auch von Google wieder als vertrauenswürdig eingestuft.
Auch Zertifikate anderer Namen betroffen
Aber Achtung! Symantec hat seine Zertifikate unter verschiedenen Markennamen verkauft, so dass vielen IT-Administratoren noch gar nicht bewusst ist, dass auch sie betroffen sind. Dazu zählen Zertifikate unter den Marken Equifax, Geotrust, RapidSSL, Thawte und Verisign.
Prüfen Sie daher lieber gleich, ob auch Sie betroffen sind. DigiCert hat dafür einen speziellen SSL-Checker bereitgestellt, mit dem Sie durch einfache Eingabe der URL prüfen lassen können, ob Ihre SSL/TLS-Zertifikate auch weiterhin gültig sind.
Wenn Sie Hilfe benötigen, unterstützen wir Sie selbstverständlich gerne beim Ersetzen der alten Symantec- durch neue DigiCert-Zertifikate oder auch beim Wechsel zu einer alternativen Zertifizierungsstelle.