Sehr geehrter Partner,
nach der bereits vor über einem Monat erfolgten Übernahme der Zertifikatssparte von Symantec durch DigiCert, wurde kürzlich auch die gesamte Infrastruktur von Symantec und der Töchter GeoTrust, Thawte, RapidSSL auf DigiCert umgestellt. Weiterlesen
Für die Übernahme von Symantecs Website Security-Sparte durch DigiCert erhielten die Unternehmen nun wohl auch von den Kartellämtern grünes Licht. Laut einer soeben veröffentlichen, gemeinsamen Pressemitteilung von Symantec und DigiCert ist die Übernahme nun abgeschlossen.
Es ist noch kein Jahr vergangen, seitdem Symantecs bis dahin tadelloser Ruf im Zertifikatsgeschäft aufgrund einiger Unklarheiten bei der Ausstellung von SSL/TLS-Zertifikaten durch Symantec RAs und einer darauffolgenden, düsteren Prognose durch Google’s Chromium-Team erschüttert wurde. Tagtäglich findet man Artikel in der internationalen Fachpresse, die Sätze wie „Alle Symantec-Zertifikate werden ungültig“ enthalten. Doch am Ende des Tages wirken solche Headlines wie aus der Luft gegriffen, denn es geht hier zunächst ausschließlich um Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden. Aber auch diese behalten, nach einer kostenfreien Neuausstellung, die gewohnte Kompatibilität – auch nach dem 17. April 2018. Weiterlesen
Symantec teilte uns kürzlich mit, dass ein Austausch aller vor dem 1. Juni 2016 ausgestellten SSL/TLS-Zertifikate der Marken Symantec, Thawte, GeoTrust und RapidSSL empfohlen wird.
Weiterlesen
Die nächsten wichtigen Änderungen bei SSL/TLS Zertifikaten
Certificate Transparency (CT) ist eine Initiative von Google um Zertifikate, welche von Certificate Authorities (CAs) ausgestellt wurden, zu protokollieren, zu kontrollieren und zu überwachen. Der Grund für die Initiative liegt darin, dass CAs daran gehindert werden sollen, Public Key-Zertifikate auszustellen, ohne vorher den Eigentümer der Domain hierüber zu informieren.
Kürzlich wurde durch Google bekanntgegeben, dass SSL-Zertifikate mit einer Laufzeit über den 1. Januar 2016 hinaus von zukünftigen Chrome-Versionen als zunehmend unsicher betrachtet werden, insofern diese mit dem nicht mehr ganz so aktuellen SHA-1 Hashing-Algorithmus signiert wurden. Gleiches gilt auch für SSL-Zertifikate, die zwar bereits mittels SHA-256 signiert wurden, jedoch SHA-1 Intermediates in der Zertifikatskette verwenden (siehe hierzu Chromium Blog Post vom 5. September 2014).
Inzwischen werden Sie wahrscheinlich längst von der türkischen Certificate Authority TÜRKTRUST wissen, die irrtümlicherweise zwei Zwischenzertifikate an zwei Organisationen in der Türkei herausgegeben hat.
Nach Erkenntnissen einer wissenschaftlichen Forschungsgruppe sind Verschlüsselung und SSL-Schutz von 41 Android-Anwendungen fehlerhaft bzw. mangelhaft. Die bereits bis zu 185 Millionen Mal heruntergeladenen Apps können somit bei der Kommunikation zwischen Gerät und Webserver angezapft werden.