Chrome misstraut bald sämtlichen Symantec Zertifikaten

Warum Sie möglicherweise Ihre aktuellen HTTPS-Zertifikate erneuern sollten

Bereits in unserem letzten Artikel befassten wir uns mit dem Thema HTTPS. Doch nur weil Ihre Website bereits HTTPS einsetzen, könnte trotzdem dringender Handlungsbedarf vorliegen.

Schon im Frühjahr 2018 hat Google bekannt gegeben, in naher Zukunft allen Symantec Zertifikaten zu misstrauen. [1]
Grund für diese radikale Vorgehensweise ist, dass Symantec Zertifikate für Domains ausgestellt hat, deren Besitz nicht verifiziert wurde [2] – unter anderem sogar unerlaubterweise für die Domain google.com [3]

Um festzustellen ob man davon betroffen ist (relevant sind auch die Eigenmarken) ist es am einfachsten, in der Entwickler-Konsole (Rechte Maustaste auf der jeweiligen Website, Untersuchen klicken und danach den Reiter Konsole aktivieren) im Chrome-Browser.
Taucht folgende Meldung auf, so verwendet man ein betroffenes Zertifikat:


Warnung durch Chrome in der Entwicklerkonsole
 

Der „Distrust“ der Zertifikate erfolgt in 2 Schritten. Im Ersten (der mit Version M66 bereits gegen April 2018 erfolgt ist) ist allen Zertifikaten, die vor 1. Juni 2016 ausgestellt worden sind misstraut worden.
Mit Version M70 gegen Oktober 2018 werden alle restlichen Zertifikate misstraut. Bis dahin sollte das Zertifikat auf jeden Fall ausgetauscht sein, da sonst Besucher eine unschöne Warnung ähnlich folgender angezeigt bekommen:


Warnung an den User durch Chrome
 

Betroffen sind noch etliche Domains – im Internet kursieren Listen mit tausenden Einträgen. Über eine stichprobenartige Suche wurden beispielsweise gleich 2 Internet-Banking-Anwendung von zwei großen österreichischen Banken entdeckt, die noch Symantec Zertifikate verwenden.

Sollte nicht bekannt sein, wie das Zertifikat ausgetauscht werden kann, kontaktieren Sie am besten Ihren Webhoster bzw. Webmaster. Ansonsten können Sie sich natürlich auch bei uns über folgenden Link telefonisch oder über unser Kontaktformular melden.

[1] https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html

[2] https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/fyJ3EK2YOP8/yvjS5leYCAAJ

[3] https://www.golem.de/news/certificate-transparency-symantec-stellt-falsches-google-zertifikat-aus-1509-116403.html

Über den Autor:
Philipp Doblhofer
Philipp Doblhofer
Head of Development
Philipp Doblhofer auf LinkedInPhilipp Doblhofer auf XINGPhilipp Doblhofer eine E-Mail senden
Die Leidenschaft an Software- und Webentwicklung ist bei Philipp seit über 10 Jahren ungebrochen. Bereits während dem Studium an der TU Wien gründete er ein Einzelunternehmen, welches individuelle Softwareentwicklung anbot. Aus einer langjährigen geschäftlichen Partnerschaft hat sich daraus schlussendlich die Agentur codeaware GmbH entwickelt.

Weitere Meldungen

Alle Blog-Artikel