Betreiber von Webseiten, die diese, für die https-Übertragung (TLS) mit Zertifikaten abgesichert haben und immer noch auf Symantec setzen, sollten schnellstmöglich handeln.
Ich hatte es bisher nicht im Blog thematisiert: Google hat Symantec wegen fehlerhaft ausgestellter Zertifikate gesperrt. Auf dem Google Webmaster-Blog findet sich dieser Beitrag vom 4. April 2018, in dem Google nochmals auf den Sachverhalt hinweist. In diesem Beitrag hatte Google im September 2017 darauf hingewiesen, dass das Vertrauen in Symantec-Zertifikate binnen 13 Monaten entzogen werde. Das Ganze erfolgt stufenweise – die folgende Tabelle nennt Daten.
Date
|
Event
|
Now
through
~March 15, 2018
|
Site Operators using Symantec-issued TLS server certificates issued before June 1, 2016 should replace these certificates. These certificates can be replaced by any currently trusted CA.
|
~October 24, 2017
|
Chrome 62 released to Stable, which will add alerting in DevTools when evaluating certificates that will be affected by the Chrome 66 distrust.
|
December 1, 2017
|
According to Symantec, DigiCert’s new “Managed Partner Infrastructure” will at this point be capable of full issuance. Any certificates issued by Symantec’s old infrastructure after this point will cease working in a future Chrome update.
From this date forward, Site Operators can obtain TLS server certificates from the new Managed Partner Infrastructure that will continue to be trusted after Chrome 70 (~October 23, 2018).
December 1, 2017 does not mandate any certificate changes, but represents an opportunity for site operators to obtain TLS server certificates that will not be affected by Chrome 70’s distrust of the old infrastructure.
|
~March 15, 2018
|
Chrome 66 released to beta, which will remove trust in Symantec-issued certificates with a not-before date prior to June 1, 2016. As of this date Site Operators must be using either a Symantec-issued TLS server certificate issued on or after June 1, 2016 or a currently valid certificate issued from any other trusted CA as of Chrome 66.
Site Operators that obtained a certificate from Symantec’s old infrastructure after June 1, 2016 are unaffected by Chrome 66 but will need to obtain a new certificate by the Chrome 70 dates described below.
|
~April 17, 2018
|
Chrome 66 released to Stable.
|
~September 13, 2018
|
Chrome 70 released to Beta, which will remove trust in the old Symantec-rooted Infrastructure. This will not affect any certificate chaining to the new Managed Partner Infrastructure, which Symantec has said will be operational by December 1, 2017.
Only TLS server certificates issued by Symantec’s old infrastructure will be affected by this distrust regardless of issuance date.
|
~October 23, 2018
|
Chrome 70 released to Stable.
|
Am 17. April 2018 wird der Google Chrome Browser Version 66 freigegeben. Webseiten die ein vor dem 1. Juni 2016 ausgestelltes SSL/TLS-Zertifikat von Symantec verwenden, werden im Chrome 66 nicht mehr angezeigt.
Der Google Chrome gibt dann eine SSL/TLS-Zertifikatswarnung mit dem Hinweis auf die Zertifikatssperre aus. Ab dem Google Chrome 70 (erste Builds ab Juli 2018, Final ab Oktober 2018) werden dann überhaupt keine Zertifikate mehr von Symantec akzeptiert.
Die Symantec-Zertifizierungsstelle hat Zertifikate für eine Reihe von Marken wie Thawte, VeriSign, Equifax, GeoTrust und RapidSSL ausgegeben. Symantec hat hier eine (Englische) Webseite zum Thema freigeschaltet. Symantec hat die Zertifikatsausstellung beendet und dieses Geschäft an Digicert verkauft. Das TLS-Zertifikat einer Website lässt sich übrigens auf Seiten wie ssl-trust.com im Browser prüfen.
Ähnliche Artikel:
Zertifikatfehler bei Google Chrome/Slimjet-Browser fixen
Microsoft live.com/Hotmail-Login-Probleme im Firefox (OCSP-Zertifikat)
SSL-Zertifikate-Verwirrung bei Let’s Encrypt und Symantec
Slimjet-Browser: Weitere Updates fixen Zertifikateprobleme
Chrome-Bug zeigt https als unsicher an
Google unsicher? SHA-1-Kollateralschäden im Google Chrome