Keine SSL-Zertifikate mehr von Symantec

Künftig werden in den Browsern Chrome und Firefox keine Zertifikate mehr von Symantec unterstützt. Hintergrund sind verschiedene Vorfälle mit falschen Ausstellungen von SSL-Zertifikaten für Firmendomains an nicht berechtigte Dritte (die diese dann z.B. für Phishingseiten genutzt haben).

Bereits im Herbst 2015 hatte Symantec unberechtigterweise Zertifikate ausgegeben und versucht, die Zahl der betroffenen Zertifikate herunterzuspielen. Auch in den Monaten danach ist sie den Pflichten als “Certificate Authority (CA)” nicht vollständig und korrekt nachgekommen. Gemeinsame Recherchen von Google und Mozilla haben ergeben, dass das Ausmaß der Falschausstellungen sogar noch größer war als von den beiden Unternehmen zuvor nach ersten Vorfällen angenommen.

Zeitplan und Browser-Versionen

Bereits in einem guten halben Jahr, Mitte April 2018 werden SSL-Zertifikate von Symantec nicht mehr berücksichtigt. Webseiten werden ab diesem Zeitpunkt als unsicher dargestellt. Dies erfolgt somit ab der geplanten Version 66 von Chrome und mit Firefox 62, denn Mozilla hat sich dem Zeitplan von Google angepasst.

Sind noch Root- oder Intermediate-Zertifikate in der Infrastruktur im Einsatz, so müssen diese spätestens im Oktober 2018 mit Chrome 70 / Firefox 65 ausgetauscht sein.

Die längeren Fristen als zunächst geplant sind u.a. auch der Tatsache geschuldet, dass auch noch EV-Zertifikate im Umlauf sind. Diese “Extended-Validation-Zertifikate” sind sehr teuer und mit den zusätzlichen Erfordernissen vom Nachweis bis zur Ausstellung ist nahezu sichergestellt, dass es keine fehlerhafte Ausstellung an Dritte/Unberechtigte gibt.

Symantec verkauft SSL-Geschäft

Für Symantec ist dies natürlich ein harter Schlag und die Konsequenzen wurden bereits gezogen. Der komplette Zertifikatsbereich des Unternehmens wurde vor kurzem an DigiCert verkauft, die ab kommenden Dezember neue Zertifikate für die Kunden von Symantec ausstellen werden. Dazu wird die Infrastruktur entsprechend neu aufgebaut.

Hintergrund des Verkaufs ist, dass auch die Marken Thawte, Geotrust und Verisign auf Root- und Intermediate-Zertifikate von Symantec setzen bzw. mit diesen austauschen.

Bedeutung für Kunden

Was bedeutet dies nun für alle Kunden/Nutzer eines Symantec-Zertifikats?

Möchten Sie bei Symantec bleiben, so können ab dem 1.Dezember die bestehenden Zertifikate über DigiCert verlängert/neu ausgestellt werden. Falls nicht, ist jederzeit davor oder auch danach die Neuausstellung bei einem anderen Anbieter möglich und spätestens bis Mitte April bzw. Oktober 2017 dringend notwendig.

Sind Sie nicht sicher, ob Sie ein Zertifikat von Symantec verwenden, so kann dies online geprüft werden. Beispielsweise wird Qualys in Kürze in seinem Online-Check ssllabs.com/ssltest diese Zertifikate in Kürze separat kennzeichnen.

Alternativen bei SpaceHost

1) Als Kunde bei SpaceHost erhalten Sie je Domain ein kostenloses SSL-Zertifikat von Let’s Encrypt für alle Ihre Domains. Diese beinhalten zudem eine automatische Verlängerung und ein hervorragendes Rating bei SSL Labs aufgrund von aktuellen Techniken auf dem Server wie SHA-256-Signierung, Forward Secrecy, TLS 1.2, Downgrade-Attack-Prevention etc. Details unter: https://spacehost.de/ssl-zertifikate

2) Besitzen Sie bereits ein Zertifikat, so können Sie dieses kostenfrei bei uns auf den Server laden und automatisch installieren lassen.

3) Benötigen Sie ein eigenes Zertifikat mit der erwähnten erweiterten Validierung (“EV”) oder ein Wildcard-Zertifikat? Diese Anforderung können wir ebenfalls erfüllen. Wir bieten auf Anfrage weitere zahlreiche Typen von bekannten Anbietern wie Comodo, Entrust, Geotrust, RapidSSL, THAWTE sowie Verisign an. Fragen Sie uns einfach danach.