Ab April 2018 akzeptiert Google's Chrome keine Symantec Zertifikate mehr

Google plant, alle von Symantec und dessen Tochterfirmen ausgestellte SSL Zertifikate als nicht mehr vertrauenswürdig im Chrome Browser anzuzeigen - Ab dem 15. März 2018 sollen von Symantec und dessen Tochterfirmen ausgestellte Zertifikate nicht mehr gültig sein.

Mehrfach unberechtigterweise falsche Zertifikate ausgestellt

Symantec hatte mehrfach Zertifikate an Dritte ausgestellt, die auf von google verwendete Domain lauteten, wie etwa google.com. Da so allerdings u.a. man-in-the-middle, SSL Spoofing und andere Angriffe durchgeführt werden können, ist dieses Vorgehen natürlich nicht erlaubt, da Zertifikate lediglich auf den tatsächlichen Domaininhaber ausgestellt werden dürfen. Google hatte Symantec daraufhin mehrfach verwarnt und schließlich das Vertrauen entzogen.

DigiCert übernimmt Symantecs SSL-Sparte

Da Google Symantec wegen diverser Vorkommnisse die Vertrauenswürdigkeit entzogen hatte, hat Symantec beschlossen, sich komplett aus dem SSL-Geschäft zurückzuziehen und die Sparte an DigiCert zu verkaufen. Dadurch wird nun ein Schlüsseltausch notwendig, bei dem die alten, von Symantec ausgestellten Zertifikate gegen neue von DigiCert validierte ausgetauscht werden.
Hierzu lieg bereits ein Zetiplan vor:

Zeitplan für den Austausch der SSL-Schlüssel

Der Zeitplan für den Austausch gliedert sich in 3 Phasen:

Phase 1:
Diese Phase betrifft SSL-Zertifikate, die vor dem 01.06.2016 ausgestellt wurden und vor dem 13.09.2018 auslaufen. Fallen Zertifikate in dieses Zeitfenster, können sie bis zum 15.03.2018 ausgetauscht werden - andernfalls werden diese Zertifikate ab dem 15.03.2018 als nicht vertrauenswürdig angezeigt.

Phase 2:
In diese Phase fallen Zertifikate, die vor dem 01.06.2016 ausgestellt wurden und nach dem 13.09.2018 auslaufen. Fallen Zertifikate in dieses Zeitfenster, müssen sie zwischen dem 01.12.2017 bis zum 15.03.2018 ausgetauscht werden, um nicht als ungültig angezeigt zu werden. Dieser Austausch muss durch die neue SubCA von DigiCert durchgeführt werden.

Phase 3:
dies betrifft Zertifikate, die vor dem 01.12.2017 ausgestellt wurden und nach dem 13.09.2018 auslaufen. Zertifikate innerhalb dieses Zeitfensters müssen ab dem 01.12.2017 bis spätestens 13.09.2018 durch DigiCert (den neuen SubCA) getauscht werden, damit sie ihre Gültigkeit behalten.

Fazit zum Vertrauensentzug von Symantec durch Google:

Wenn Sie ein Zertifikat verwenden, das von Symantec oder dessen Tochterfirmen Thawte, GeoTrust oder RapidSSL augestellt wurde, sollten Sie sich den Zeitplan für den Austausch genau ansehen, und anschließend entscheiden, wann für die der beste Zeitpunkt ist um das Zertifikat auszutauschen.
Ein Austausch ist in jedem Fall notwendig um einen Ausfall der Webseite zu vermeinden, egal ob Sie nun das urspüngliche Zertifikat mit dem neuen Anbieter DigiCert weiterführen möchten, oder auf einen anderen SSL-Anbieter wechseln möchten.

Quelle:
https://www.psw-group.de/hot-update/
https://www.heise.de/security/meldung/Zertifizierung-Google-entzieht-Symantec-2018-das-Vertrauen-3828578.html

2017-10-04