Symantec empfiehlt Austausch aller Zertifikate mit Startdatum vor 1. Juni 2016 [Update 3]

Symantec teilte uns kürzlich mit, dass ein Austausch aller vor dem 1. Juni 2016 ausgestellten SSL/TLS-Zertifikate der Marken Symantec, Thawte, GeoTrust und RapidSSL empfohlen wird.

Hintergrund ist der nun bereits seit vielen Monaten schwelende Streit zwischen der Zertifizierungsstelle und dem Browser-Hersteller Google. Dieser drohte in Vergangenheit damit, Symantec-Zertifikaten aufgrund von Zwischenfällen bei der Vergabe (Hintergrundwissen) in mehreren Etappen das Vertrauen zu entziehen oder künftig in der Maximallaufzeit zu begrenzen.

Inzwischen konnte sich die Community unter Federführung des Chromium Teams einigen und hat finale Informationen zum zukünftigen Umgang veröffentlicht, die wie folgt aussehen:

Klick um PDF Version anzuzeigen

Datum Ereignis
27. Juli 2017 bis Mitte März 2018

Nutzer von durch Symantec vor dem 1. Juni 2016 ausgestellten TLS Server-Zertifikaten (einschließlich Thawte, GeoTrust und RapidSSL) sollten ihre Zertifikate neu ausstellen/ersetzen.

ca. 24. Oktober 2017

Chrome 62 erscheint als Stable-Version. Diese enthält im Entwicklermodus bereits eine Warnung für diejenigen Zertifikate, denen ab Mitte März 2018 (mit der Einführung von Chrome 66) nicht weiter vertraut wird.

1. Dezember 2017

Bis zum 1. Dezember wird nach Aussage von Symantec die neue PKI-Infrastruktur bereitstehen. Alle Zertifikate werden ab diesem Datum auch kompatibel zu künftigen Chrome Versionen (Chrome v70, verfügbar ab ca. 23. Oktober 2018) ausgestellt.

Mitte März 2018 Chrome v66 wird als Beta-Version vorgestellt und verfügt über keine Vertrauensstellung mehr in Zertifikate, die vor dem 1. Juni 2016 durch Symantec ausgestellt wurden. Spätestens ab diesem Datum sollten Nutzer von Symantec-Zertifikaten (einschließlich Thawte, GeoTrust und RapidSSL) ihre TLS Server-Zertifikate neu augestellt und neu eingespielt haben (re-issue). Nutzer die über Symantec-Zertifikate verfügen, die nach dem 1. Juni 2016 ausgestellt wurden, sind von den Änderungen in Chrome v66 nicht betroffen, benötigen jedoch ein neu ausgestelltes Zertifikat um noch mit Chrome-Versionen ab v70 kompatibel zu sein.
ca. 17. April 2018 Chrome v66 erscheint als Stable-Version.
ca. 13. September 2018

Chrome v70 erscheint als Beta-Version. Diese enthält keine Vertrauensstellung mehr in die alte Symantec PKI-Infrastruktur. Produktiv eingesetzte TLS Server-Zertifikate sollten ab dem 13. September 2018 bereits von der neuen Symantec PKI Infrastruktur ausgestellt worden sein (verfügbar ab 1. Dezember 2017).

ca 23. Oktober 2018

Chrome v70 erscheint als Stable-Version.

 

Alle betroffenen Zertifikate wurden auf der CertCenter-Oberfläche erkenntlich gemacht (siehe Grafik) und mit einem Austauschlink versehen.

Der Austausch kann mit wenigen Klicks (oder per API) beauftragt werden und erfolgt in der Regel binnen weniger Minuten/Stunden. Nur in Einzelfällen ist eine teilweise Revalidierung der Unternehmensdaten nötig.

Für Rückfragen steht Ihnen unser Team natürlich jederzeit telefonisch, per E-Mail oder auch über unseren Intercom-Chat zur Verfügung.

 


Folgen Sie der Debatte zwischen Symantec und Google:
https://groups.google.com/a/chromium.org/forum/#!msg/blink-dev/eUAKwjihhBs/El1mH8S6AwAJ

 

Facebooktwittergoogle_plusredditpinterestlinkedinmailFacebooktwittergoogle_plusredditpinterestlinkedinmail

1 comment

Comments are closed.