Warum Sie möglicherweise Ihre aktuellen HTTPS-Zertifikate erneuern sollten

Bereits in unserem letzten Artikel befassten wir uns mit dem Thema HTTPS. Doch nur weil Ihre Website bereits HTTPS einsetzen, könnte trotzdem dringender Handlungsbedarf vorliegen.

Schon im Frühjahr 2018 hat Google bekannt gegeben, in naher Zukunft allen Symantec Zertifikaten zu misstrauen. [1]
Grund für diese radikale Vorgehensweise ist, dass Symantec Zertifikate für Domains ausgestellt hat, deren Besitz nicht verifiziert wurde [2] – unter anderem sogar unerlaubterweise für die Domain google.com [3]

Um festzustellen ob man davon betroffen ist (relevant sind auch die Eigenmarken) ist es am einfachsten, in der Entwickler-Konsole (Rechte Maustaste auf der jeweiligen Website, Untersuchen klicken und danach den Reiter Konsole aktivieren) im Chrome-Browser.
Taucht folgende Meldung auf, so verwendet man ein betroffenes Zertifikat:


 

Der „Distrust“ der Zertifikate erfolgt in 2 Schritten. Im Ersten (der mit Version M66 bereits gegen April 2018 erfolgt ist) ist allen Zertifikaten, die vor 1. Juni 2016 ausgestellt worden sind misstraut worden.
Mit Version M70 gegen Oktober 2018 werden alle restlichen Zertifikate misstraut. Bis dahin sollte das Zertifikat auf jeden Fall ausgetauscht sein, da sonst Besucher eine unschöne Warnung ähnlich folgender angezeigt bekommen:


 

Betroffen sind noch etliche Domains – im Internet kursieren Listen mit tausenden Einträgen. Über eine stichprobenartige Suche wurden beispielsweise gleich 2 Internet-Banking-Anwendung von zwei großen österreichischen Banken entdeckt, die noch Symantec Zertifikate verwenden.

Sollte nicht bekannt sein, wie das Zertifikat ausgetauscht werden kann, kontaktieren Sie am besten Ihren Webhoster bzw. Webmaster. Ansonsten können Sie sich natürlich auch bei uns über folgenden Link telefonisch oder über unser Kontaktformular melden.

[1] https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html

[2] https://groups.google.com/forum/#!msg/mozilla.dev.security.policy/fyJ3EK2YOP8/yvjS5leYCAAJ

[3] https://www.golem.de/news/certificate-transparency-symantec-stellt-falsches-google-zertifikat-aus-1509-116403.html


Weitere Meldungen

Alle Pressemitteilungen