Bereits in unserem letzten Artikel befassten wir uns mit dem Thema HTTPS. Doch nur weil Ihre Website bereits HTTPS einsetzen, könnte trotzdem dringender Handlungsbedarf vorliegen.

Schon im Frühjahr 2018 hat Google bekannt gegeben, in naher Zukunft allen Symantec Zertifikaten zu misstrauen. ^[1]
Grund für diese radikale Vorgehensweise ist, dass Symantec Zertifikate für Domains ausgestellt hat, deren Besitz nicht verifiziert wurde ^[2] – unter anderem sogar unerlaubterweise für die Domain google.com ^[3]

Um festzustellen ob man davon betroffen ist (relevant sind auch die Eigenmarken) ist es am einfachsten, in der Entwickler-Konsole (Rechte Maustaste auf der jeweiligen Website, Untersuchen klicken und danach den Reiter Konsole aktivieren) im Chrome-Browser.
Taucht folgende Meldung auf, so verwendet man ein betroffenes Zertifikat:

Der „Distrust“ der Zertifikate erfolgt in 2 Schritten. Im Ersten (der mit Version M66 bereits gegen April 2018 erfolgt ist) ist allen Zertifikaten, die vor 1. Juni 2016 ausgestellt worden sind misstraut worden.
Mit Version M70 gegen Oktober 2018 werden alle restlichen Zertifikate misstraut. Bis dahin sollte das Zertifikat auf jeden Fall ausgetauscht sein, da sonst Besucher eine unschöne Warnung ähnlich folgender angezeigt bekommen:

Betroffen sind noch etliche Domains – im Internet kursieren Listen mit tausenden Einträgen. Über eine stichprobenartige Suche wurden beispielsweise gleich 2 Internet-Banking-Anwendung von zwei großen österreichischen Banken entdeckt, die noch Symantec Zertifikate verwenden.

Sollte nicht bekannt sein, wie das Zertifikat ausgetauscht werden kann, kontaktieren Sie am besten Ihren Webhoster bzw. Webmaster. Ansonsten können Sie sich natürlich auch bei uns über folgenden Link telefonisch oder über unser Kontaktformular melden.

[1] https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html

[2] https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/fyJ3EK2YOP8/yvjS5leYCAAJ

[3] https://www.golem.de/news/certificate-transparency-symantec-stellt-falsches-google-zertifikat-aus-1509-116403.html


Keine Neuigkeiten mehr verpassen? Melden Sie sich hier für unseren Newsletter an!

Über den Autor:

Ing. Philipp Doblhofer

Head of Development

Die Leidenschaft an Software- und Webentwicklung ist bei Philipp seit über 10 Jahren ungebrochen. Bereits während dem Studium an der TU Wien gründete er ein Einzelunternehmen, welches individuelle Softwareentwicklung anbot. Aus einer langjährigen geschäftlichen Partnerschaft hat sich daraus schlussendlich die Agentur codeaware GmbH entwickelt.