Symantec Neuausgabe

Aufgrund mehrerer Vorfälle bei der Ausgabe von Symantec-Zertifikaten in den letzten Jahren haben Google und Mozilla das Vertrauen in Symantecs Zertifikatausgabe verloren. Inzwischen ist eine Einigung erzielt worden: die SSL-Abteilung wird von DigiCert übernommen, dies bedeutet, dass Symantec-Zertifikate von Google Chrome und Mozilla Firefox weiterhin vertraut werden. Ab 1. Dezember 2017 können Sie kostenlos die Zertifikate von Symantec, GeoTrust und Thawte erneut auszustellen, damit Sie weiterhin von diesen Browsern vertraut bleiben.

Planung

Am 11. September 2017 veröffentlichte Google seinen endgültigen Plan zum Beenden der Unterstützung für Symantec-Zertifikate. Mozilla Firefox hat ebenfalls seinen Zeitplan bekannt gegeben. Chrome ist weltweit der meistgenutzte Browser, daher verwenden wir den Chrome-Zeitplan als Referenz.

Auswirkungen auf Zertifikate in Google Chrome

Symantec-, GeoTrust-und Thawte-Zertifikate, die unter dem alten Verisign-Stamm ausgestellt wurden, werden in Google Chrome je nach Ausgabedatum nicht mehr vertrauenswürdig sein. Dies hat keine Auswirkungen auf Zertifikate von Comodo oder GlobalSign. Zertifikate von Symantec, GeoTrust und Thawte benötigen eine kostenlose Neuausgabe, um vom Browsern vertraut zu werden:

  • Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, werden nicht mehr vertraut von Chrome ab Version 66 vom 15. März 2018. Diese Zertifikate müssen zwischen dem 1. Dezember 2017 und dem 15. März 2018 erneut ausgestellt werden.
  • Zertifikate, die zwischen dem 1. Juni 2016 und dem 1. Dezember 2017 ausgestellt wurden, werden nicht mehr vertraut von Chrome ab Version 70 vom 16. Oktober 2018. Diese Zertifikate müssen zwischen dem 1. Dezember 2017 und dem 16. Oktober 2018 erneut ausgestellt werden.

Chrome distrust timeline

DigiCert stellt ab dem 1. Dezember 2017 Symantec-Zertifikate aus. Symantec-Zertifikate, die ab sofort über die neue Infrastruktur von DigiCert bereitgestellt werden, werden vollständig von zukünftigen Chrome-Versionen unterstützt.

Auswirkungen auf Zertifikate in Mozilla Firefox

Mozilla kündigte Anfang Oktober an, dass es die Unterstützung für Symantec verschieben würde. Der vorher angekündigte Termin der Firefox-Version 63 vom 23. Oktober 2018 wurde auf die Firefox-Version 64 verschoben, die für Dezember geplant ist. Der Grund dafür ist, dass immer noch mehr als ein Prozent der eine Million beliebtesten Websites im Internet Zertifikate von Symantec verwendet. Aufgrund dieser Verschiebung hofft Mozilla, Webseiten mehr Zeit zu geben, ihr Zertifikat zu erneuern.

Der Mozilla-Zeitplan ist wie folgt:

  • Ab Januar 2018 (Firefox Version 58) wird in der Developeransicht ein Warnung für Symantec-Zertifikate ausgegeben die vor dem 1. Juni 2016 veröffentlicht wurden.
  • Ab Mai 2018 (Firefox Version 60) zeigen Websites eine unsichere Verbindung bei Symantec-Zertifikaten die vor dem 1. Juni 2016 ausgestellt wurden.
  • Ab Dezember 2018 (Firefox Version 64) sind alle Symantec-Zertifikate, die von der alten PKI-Infrastruktur (vor dem 1. Dezember 2017) ausgestellt wurden, nicht mehr vertrauenswürdig.

Zusätzlich zu den Browsern hat SSLLabs angekündigt, dass es die Wertung in seinem SSL-Server-Test vom 1. März 2018 an einen T-Wert anpassen wird, wenn eine Website ein vor dem 1. Juni 2016 ausgestelltes Symantec-SSL-Zertifikat verwendet.

Austauschverfahren

Ab dem 1. Dezember 2017 können Sie mit dem Austausch von Zertifikaten beginnen. Sie haben die Wahl zwischen einer Neuausstellung oder, je nach Restlaufzeit, einer sofortigen Verlängerung der Zertifikate. Eine Alternative dazu ist der Wechsel zu einer anderen Marke. Wenn Sie möchten, können Sie Ihre Zertifikate kostenlos oder zu einem reduzierten Tarif gegen vergleichbare Zertifikate von Comodo oder GlobalSign eintauschen. Bitte kontaktieren Sie uns dafür.

Einfluss der Limitierung auf 2 Jahre

Ab dem 1. März 2018 beträgt die maximal zulässige Laufzeit für alle Marken und Typen von SSL-Zertifikaten 825 Tage (ca. 27 Monate). Wenn Sie nach diesem Datum ein Symantec-, Thawte- oder GeoTrust-Zertifikat erneuern, das zum Zeitpunkt der Neuausstellung länger als diese 825 Tage gültig ist, ist die verbleibende Laufzeit auf 825 Tage begrenzt.

Austausch durch Neuausgabe

Ab 1. Dezember 2017 können Sie mit der Neuausstellung der Zertifikate beginnen:

  • Im Kontrollpanel finden Sie die Zertifikate, die ab Anfang Dezember erneut ausgestellt werden müssen. Das spätest mögliche Neuausstellungsdatum wird ebenfalls angezeigt. Darüber hinaus senden wir Ihnen alle Informationen per E-Mail, wenn Sie über Zertifikate verfügen, die erneut ausgestellt werden müssen.
  • Wählen Sie für jedes zu ersetzende Zertifikat die Option Neuausgabe im Kontrollpanel. Es empfiehlt sich, hierfür einen neues CSR anzulegen. Alternative können Sie das alte CSR wiederverwenden, welches Sie ebenfalls im Kontrollpanel finden.

Austausch über eine Erweiterung

Bei einer Neuausstellung erhalten Sie ein neues Zertifikat mit der gleichen Laufzeit wie das alte Zertifikat. Um mit Chrome vertraut zu werden, können Sie anstelle dieser Neuausstellung eine Erweiterung wählen. Sie erhalten ein neues Zertifikat mit einem neuen Begriff und die Laufzeit des alten Zertifikats.

Die Verlängerungsfrist für 1-jährige Symantec-, GeoTrust- und Thawte-Zertifikate wurde von 40 auf 210 Tage verlängert. Dadurch können Sie Ihre Zertifikate früher erneuern, wodurch der Austauschvorgang einfacher und weniger zeitaufwendig wird. Alle Symantec-Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden und maximal 210 Tage gültig sind, können sofort für maximal 1 Jahr verlängert werden. Sie erhalten die Restlaufzeit, aufgerundet auf Monate. Beispiel: Sie erneuern ein Zertifikat, das zum Zeitpunkt der Erneuerung für weitere 135 Tage gültig ist. Sie erhalten dann ein neues Zertifikat mit einer Laufzeit von 1 Jahr und 5 Monaten (die alte Dauer von 135 Tagen / 4,5 Monaten aufgerundet). Aufgrund der Dauer der Einschränkungen des CA/Brower-Forums gilt dies nicht für 2-Jahres-Zertifikate. Für die Verlängerung auf ein 2-Jahres-Zertifikat gilt die Verlängerungsfrist von 40 Tagen. Um von der verlängerten Verlängerungsdauer zu profitieren, können Sie ein 2-Jahres-Zertifikat durch ein 1-Jahres-Zertifikat erweitern.

Validierung

Bei einige Zertifikate ist eine neue Validierung erforderlich - warten Sie daher nicht bis zum letzten Moment mit der Neuausstellung. Millionen von Zertifikaten müssen weltweit ausgetauscht werden, daher mussen Sie mit etwas längere Lieferzeiten rechnen.

  • Bei Domain-Validierungszertifikaten wird die Validierung erneut per E-Mail ausgeführt.
  • Bei Organisations und erweiterter Validierung werden die Daten des Unternehmens überprüft, wenn diese Prüfung vor mehr als 27 Monaten zum Zeitpunkt der erneuten Veröffentlichung abgeschlossen wurde.

Installation

Nach der Neuausstellung erhalten Sie eine E-Mail mit dem Ersatzzertifikat und CA-Zertifikaten zur Installation auf Ihrem Webserver. Die neuen Stammzertifikate finden Sie im Download-Bereich.

Um die größtmögliche Browserunterstützung zu erhalten, werden die neuen Stammzertifikate mit dem alten Symantec-Stammzertifikat kreuzsigniert.

Problem zwischen Google und Symantec

Anfang 2017 wurde bekannt, dass mehr Zertifikate zu unrecht von Symantec ausgestellt wurden. Nach der Untersuchung stellte sich heraus, dass die Beaufsichtigung von Partnern, die Zertifikate selbständig unter Symantecs Stammzertifikaten ausstellen durften, in den letzten Jahren nicht ausreichend war. Diese Partner haben Symantec-Zertifikate in einer Weise ausgestellt, die nicht den geltenden Anforderungen entsprachen. Symantec identifizierte keine Mängel rechtzeitig, reagierte laut Google nicht ausreichend und kündigte diese Probleme nicht von sich aus an. Daraufhin gab Google bekannt, dass es die Unterstützung für Symantec-, GeoTrust- und Thawte-Zertifikate in Google Chrome einstellen würde.

Im August 2017 wurde bekannt gegeben, dass die amerikanische Zertifizierungsstelle DigiCert die gesamte PKI-Sparte von Symantec übernehmen wird. Durch die Verwendung dieser Infrastruktur werden die Anforderungen von Google für eine sichere Zertifikatsverwaltung erfüllt, ohne dass Symantec seine veraltete PKI-Infrastruktur ersetzen muss.

DigiCert en Symantec

Nützliche Informationen

Verwandte Nachrichten

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.

point up