Chrome und Firefox: Aus die Maus für SSL-Zertifikate von Symantec

← zurück zum Blog

Google und Mozilla haben angekündigt, den von der Zertifizierungsstelle Symantec ausgestellten SSL-Zertifikaten in ihren Browsern bald nicht mehr zu vertrauen. Damit endet ein längerer Streit zwischen Google und einem der führenden Anbieter von SSL-Zertifikaten. Wir zeigen, was der Vertrauensentzug bedeutet, wie Sie prüfen, ob Ihr SSL-Zertifikat betroffen ist und was Sie dagegen unternehmen können.

Vertrauensentzug durch Browser-Hersteller

Dem Vertrauensentzug war ein längerer Streit zwischen den Browserherstellern und dem SSL-Zertifikateanbieter Symantec vorangegangen. Symantec hatte bereits 2015 unberechtigterweise Test-Zertifikate ausgestellt, unter anderem auch für Domains von Google. Seither stand die Zertifizerungsstelle unter verschärfter Beobachtung. Nachdem weitere Fälle bekannt wurden, in denen Partnerfirmen über die Systeme von Symantec unberechtigt Zertifikate ausgestellt hatten, entschied sich Google für drastische Massnahmen und kündete Symantec das Vertrauen.

Zeitplan für den Abschied von Symantec-Zertifikaten

Google hat in einem kürzlich veröffentlichten Blogbeitrag den Zeitplan definiert, wie den Zertifikaten von Symantec schrittweise nicht mehr vertraut wird. Mozilla hat sich ebenfalls entschlossen, sich dem von Google definierten Zeitplan anzuschliessen. Damit werden über 60% der weltweiten Browser-Nutzer bis Mitte Oktober 2018 keine Websites mehr besuchen können, die mit einem SSL-Zertifikat von Symantec verschlüsselt sind. Die beiden anderen grossen Browser-Hersteller Apple und Microsoft haben sich bisher nicht öffentlich dazu geäussert, wie sie mit Symantec-Zertifikaten umgehen werden. Der Zeitplan von Google sieht folgendermassen aus:

  • Mitte März 2018: Chrome 66 wird als Beta-Version veröffentlich. Mit der Version werden keinen Symantec-Zertifikaten mehr vertraut, die vor dem 1. Juni 2016 ausgestellt wurden. Benutzer erhalten im Browser eine Warnung, dass das SSL-Zertifikat nicht vertrauenswürdig ist.
  • Mitte April 2018: Chrome 66 wird als Stable-Version veröffentlicht.
  • Mitte September 2018: Chrome 70 wird als Beta-Version veröffentlicht. Mit der Version wird sämtlichen Symantec-Zertifikaten das Vertrauen entzogen. Benutzer erhalten im Browser eine Warnung, dass das SSL-Zertifikat nicht vertrauenswürdig ist.
  • Mitte Oktober 2018: Chrome 70 erscheint als Stable-Version.
Warnung in Google Chrome, dass dem Root-Zertifikat nicht vertraut wird.

Warnung in Google Chrome, dass dem Root-Zertifikat nicht vertraut wird.

Bin ich davon betroffen?

Symantec betreibt Zertifizierungsstellen unter verschiedenen Markennamen wie Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. Wenn Sie ein SSL-Zertifikat eines dieser Anbieter nutzen ist die Wahrscheinlichkeit hoch, dass Ihrem SSL-Zertifikat in den Browsern Chrome und Firefox ab September 2018 nicht mehr vertraut wird und Besucher Ihrer Website eine Warnung erhalten. Wurde Ihr SSL-Zertifikat vor dem 1. Juni 2016 ausgestellt, erhalten Besucher Ihrer Website bereits Anfang 2018 eine Warnung.

Ob das SSL-Zertifikat Ihrer Website betroffen ist, prüfen Sie am einfachsten mit dem Dienst Hardenize. Nebst vielen anderen interessanten Informationen zur Verschlüsselung Ihrer Website verrät der Dienst auch, ob und in welchem Masse Sie vom Symantec-Problem betroffen sind.

Prüfresultat von Hardenize: Unter dem Menüpunkt «Certificates» lassen sich die relevanten Informationen auslesen.

Prüfresultat von Hardenize: Unter dem Menüpunkt «Certificates» lassen sich die relevanten Informationen auslesen.

Was kann ich tun, wenn ich betroffen bin?

Falls Sie vom Problem betroffen sind, empfehlen wir, dass Sie das SSL-Zertifikat für Ihre Website sobald wie möglich auswechseln. Eine gute Alternative sind die Zertifikate der gemeinnützigen Zertifizierungsstelle Let’s Encrypt. Als cyon-Kunde installieren Sie die kostenlosen SSL-Zertifikate bequem per Mausklick. Und um die rechtzeitige Erneuerung der Zertifikate kümmern wir uns automatisch.

2 Kommentare

  1. Über Hardenize konnte ich einige Domains von mir bei Cyon testen. Zertifikate sind i.O. Leider bringt Hardenize Fehler in anderen Bereichen, welche ich nicht interpretieren kann…
    – HTTP Strict Transport Security
    – HSTS Preloaded
    – Content Security Policy
    sind „gelb“
    Bei E-Mail ist
    – STARTTLS
    rot und mit Very Important markiert.

    Da gibt also die eine Kontrolle eine Entwarnung (Zertifikat), Gleichzeitig treten aber scheinbar andere Probleme an den Tag..
    Muss ich da etwas unternehmen?

    • Hallo Herr Kaufmann, danke für Ihren Kommentar. HTTP Strict Transport Security und HSTS Preload verbessern die Sicherheit, wenn Besucher Ihre Website zum ersten Mal aufrufen oder die Domain ohne https:// eingeben. Weitere Informationen dazu finde Sie in unserem Supportcenter-Artikel zu diesem Thema: Wie aktiviere ich HTTP Strict Transport Security (HSTS) für meine Website? Eine Content Security Policy schützt Ihre Besucher vor sogenanntem Cross-Site-Scripting. Unsere Server unterstützen ebenfalls STARTTLS. Wenn Sie uns die betroffene Domain per E-Mail an mail@cyon.ch senden, schauen wir uns den konkreten Fall gerne genauer an. Grundsätzlich sind von Ihrer Seite her aber keine Massnahmen nötig.

Kommentar hinzufügen

Ihre E-Mail-Adresse wird nicht veröffentlicht.
Auszufüllende Felder sind mit einem * gekennzeichnet.

*
*
*
Einfache HTML Anweisungen wie a, strong, blockquote etc. sind möglich.

Hinweis

Wir behalten uns vor, Spam-, beleidigende oder anderweitig unpassende Kommentare zu entfernen.

← zurück zum Blog