Google hat angekündigt den Symantec CAs (Zertifizierungsstellen) das Vertrauen ab 2018 zu entziehen. Ein entsprechender Artikel findet sich im Google Security Blog:
Konkret bedeutet dies, dass Webseiten oder Dienste die mit von Symantec ausgestellten Zertifikaten arbeiten von Chrome nicht mehr als vertrauenswürdig angesehen werden.Dies betrifft alle Zertifikate die vor dem 01.06.2016 von Symantec ausgestellt wurden. Davon betroffen sind auch die Zertifikate der weiteren von Symantec betriebenen Zertifizierungsstellen Thwate, Verisign, Equifax, GeoTrust und RapidSSL. Symantec war bis jetzt der Marktführer und den Zertifizierungsstellen und verkauft nun das Zertifikatsgeschäft nun an DigiCert.
Ein relativ teures Wildcard Zertifikat von Thwate, welches im Mai 2016 ausgestellt wurde und eigentlich noch bis Mai 2019 gültig wäre, verliert also gut die Hälfte der Laufzeit. Super Sache…
Die genauen Daten, wann Chrome den Symantec Zertifizierungsstellen nicht mehr vertraut finden sich im oben verlinkten Artikel. Andere Browser werden Symantec wohl erst einmal weiter vertrauen. Chrome wird aber auf absehbare Zeit mit der hübschen Warnung reagieren:
Kostenlose SSL Zertifikate, die auch von allen gängigen Betriebssystemen und Browsern unterstützt werden, gibt es bei Let’s Encrypt. Ab Januar 2018 will Let’s Encrypt außerdem Wildcard SSL Zertifikate ausstellen.
Das wird total krass, tja aber Symantec hat wohl auch an diverse Behörden private Schlüssel verteilt…
Ach ja: Der Böse ist in diesem Fall ausnahmsweise nicht Google, oder nicht nur.
Symantec hat wohl über einen gewissen Zeitraum Zertifikate ausgegeben ohne die entsprechenden Regeln zu beachten, trotz mehrerer Ermahnungen.
Aber darüber hinaus will Google selbst ins Zertifikatsgeschäft und Symantec ist bzw. war der Größte. So ein Zufall… ;-)
Auf der entsprechenden Website von Google die dieses Problem beschreibt steht sogar dass ab Chrome Version 7 keinem Symantec CA Zertifikat mehr vertraut wird welches vor der Komplettumstellung der Zertifikatausgabe (ca. Dezember 2017) ausgestellt wurde bzw. wird. Oder habe ich da was falsch verstanden?
Das betrifft, wie Franky es oben bereits geschrieben hat, nur Zertifikate die VOR dem 1 Juni 2016 ausgestellt wurden.
Musste grad auch zweimal lesen, da wir erst im Mai diesen Jahres auf Wildcard von Thawte umgestiegen sind.
Starting with Chrome 66, Chrome will remove trust in Symantec-issued certificates issued prior to June 1, 2016. Chrome 66 is currently scheduled to be released to Chrome Beta users on March 15, 2018 and to Chrome Stable users around April 17, 2018.
Habe diesen Monat auch von GeoTrust ein 3 Jahreszertifikat erworben. Wie kommen die Bommel von Google nur auf es schmale Brett?
Da soll man Zertifikate erwerben und dann so ein Mist. Verstehe die Denke nicht. Kann mich jemand aufklären bitte.
Ups, das ist aber schlecht! Habe ich richtig verstanden das Zertifikate welche NACH dem 01.06.2016 z.B. von GeoTrust ausgestellt wurden nicht betroffen sind?
Ich nutze GeoTrust für fast alle meine eigenen und auch Kundenzertifikate. Das wäre sonst ein schöner Schlamassel…