Anmeldung

Abbrechen

Bitte geben Sie Ihre Daten ein um fortzufahren.

   Passwort vergessen?

Neukunde? Erstellen Sie ein Konto.

Deutsch / EUR Startseite
Lade...

Problematik Google Chrome & Symantec SSL-Zertifikate

29.11.2017 - Produktneuigkeiten

Was ist passiert?

Möglicherweise haben Sie in der Presse bereits von den Problemen zwischen Google und Symantec gehört. Anfang des Jahres, nachdem Vorfälle mit Symantec-Zertifikaten öffentlich wurden, beschloss Google, Maßnahmen zu ergreifen, und kündigte Pläne an, allen SSL-Zertifikaten der Symantec-Produktgruppe in ihrem Google Chrome Browser zu misstrauen. Die Unternehmen hatten diesbezüglich viele Gespräche miteinander geführt, da dieses Vorgehen eine große Zahl von Internetnutzern betreffen würde.

Google und Symantec konnten sich schließlich auf ein Vorgehen einigen, welches Symantec ermöglicht, das Zertifikatsgeschäft aufrecht zu erhalten. Dies ist nur möglich, wenn Symantec nicht mehr als Zertifizierungsstelle fungiert, da Google Chrome im Jahr 2018 allen Symantec-Zertifikaten misstrauen wird. Stattdessen wird ab dem 1. Dezember 2017 die Digicert Public-Key-Infrastruktur (PKI) für die Ausstellung von Zertifikaten verwendet, und Symantec wird technisch gesehen eine Sub-Zertifikatsbehörde (SubCA) werden. Analog dazu werden auch alle anderen Symantec SSL-Zertifikatsmarken als SubCAs eingestuft.

Betroffenen Zertifikate müssen neu ausgestellt werden

Mit der Veröffentlichung von Chrome 66 (voraussichtlich im März 2018) wird Google in einem ersten Schritt allen Symantec-Zertifikaten misstrauen, die vor dem 1. Juni 2016 ausgestellt wurden. Mit der Veröffentlichung von Chrome 70 (voraussichtlich im September 2018) wird Google schließlich auch allen Symantec SSL-Zertifikaten, die vor dem 1. Dezember 2017 mit der alten Symantec PKI ausgestellt wurden, misstrauen. Da Symantec weitere CAs (GeoTrust, Thawte und RapidSSL) in der Vergangenheit gekauft hat, wurden die Root-Zertifikate dieser früheren Unternehmen dem Symantec Root hinzugefügt. Zertifikate, die von diesen drei CAs ausgestellt wurden, sind wie native Symantec SSL-Zertifikate betroffen und müssen ebenfalls neu ausgestellt werden.

Daher sind leider alle Symantec, GeoTrust, Thawte und RapidSSL-Zertifikate betroffen und werden in Zukunft nicht mehr von Google Chrome akzeptiert. Damit Ihren Zertifikaten nicht das Vertrauen von Google Chrome entzogen wird, ist eine Neuausstellung für betroffene Zertifikate erforderlich.

Schlussfolgernd können zwei Gruppen von Zertifikaten getrennt betrachtet werden.

Die Details zu diesen Gruppen im Überblick

  1. Zertifikate, die VOR dem 1. Juni 2016 ausgestellt wurden: Diesen wird am 15. März 2018 von Google Chrome das Vertrauen entzogen (= Release von Chrome 66). Um das zu verhindern, ist eine Neuausstellung mit der Digicert PKI notwendig. Dies kann ab dem 1. Dezember 2017 geschehen. Neuausstellungen müssen bis zum 15. März 2018 durchgeführt werden. Danach wird Google Chrome Fehler anzeigen.
  2. Zertifikate, die VOR dem 1. Dezember 2017 ausgestellt wurden / werden: Diesen wird am 13. September 2018 von Google Chrome das Vertrauen entzogen (= Release von Chrome 70). Um das zu verhindern, ist eine Neuausstellung mit der Digicert PKI notwendig. Dies kann ab dem 1. Dezember 2017 geschehen. Neuausstellungen müssen bis zum 13. September 2018. durchgeführt werden. Danach wird Google Chrome Fehler anzeigen.

Die nächsten Schritte

Update: Ab dem 10. Januar 2018 werden wir nach und nach die betroffenen SSL-Zertifikate neu ausstellen. Wir werden unsere Kunden per E-Mail über den genauen Prozess informieren.

Wichtige Information für domainvalidierte Zertifikate

Mit der bevorstehenden Umstellung der Symantec PKI auf die Digicert PKI wird die Möglichkeit zum Ändern der Approver-E-Mail-Adresse für domainvalidierte SSL-Zertifikate der Symantec-Marken ab dem 30. November durch Symantec vorübergehend deaktiviert. An die Approver-E-Mail-Adresse wird eine E-Mail zur Bestätigung des SSL-Zertifikats geschickt.

Dies betrifft die folgenden Produkte:

  • GeoTrust QuickSSL Premium
  • RapidSSL
  • RapidSSL Wildcard
  • Thawte SSL123

Diese wichtige Funktionalität soll nach unserer Kenntnis innerhalb von 2 Monaten nach der PKI-Änderung wieder verfügbar sein. Es kann auch sein, dass sie gar nicht deaktiviert wird. Wir werden Sie informieren, sobald wir Neuigkeiten zu diesem Thema haben.

Chrome Bug: Grüne Leiste wird bei bestimmten EV Zertifikaten nicht angezeigt

Bitte beachten Sie, dass die grüne Adressleiste bei Extended Validated (EV) SSL-Zertifikaten, die durch DigiCert SHA-256 Intermediate & Root Hierarchy signiert wurden, aufgrund eines Bugs in Google Chrome nicht angezeigt wird.

Intermediate CA:
Issued to: DigiCert Global CA G2
Valid from: 08/01/2013 to 08/01/2028
Serial Number: ‎0c 8e e0 c9 0d 6a 89 15 88 04 06 1e e2 41 f9 af
Root CA:
Issued to: DigiCert Global Root G2
Valid from: 08/01/2013 to 01/15/2038
Serial Number: ‎03 3a f1 e6 a7 11 a9 a0 bb 28 64 b1 1d 09 fa e5

Dies ist ein Problem, das Google bestätigt hat. Ein Patch zur Behebung dieses Bugs wird voraussichtlich irgendwann im Januar 2018 veröffentlicht (Zeitpunkt kann sich noch ändern). Betroffen sind alle Extended Validated SSL-Zertifikate der Symantec-Familie, einschließlich Geotrust und Thawte. Als Notlösung wird der Ersatz (Neuausstellung) der EV SSL-Zertifikate empfohlen. Das Ersatzzertifikat wird durch DigiCert SHA-256 Intermediate unterhalb der DigiCert SHA-1 Root Hierarchy ausgestellt und signiert, welche von diesem Google-Problem nicht betroffen sind.