Symbolbild Schild mit Schloss für SSL Zertifikate und HTTPS Verschlüsselung
26-03-2018

ITDatenschutzSSL-Zertifikate: Google Chrome misstraut 2018 Symantec

Im Laufe des Jahres 2018 wird der Chrome-Browser von Google viele SSL-Zertifikate des US-amerikanischen Softwareunternehmens Symantec für ungültig erklären. Symantec ist in der Vergangenheit wiederholt negativ aufgefallen, weil es immer wieder zu Komplikationen mit deren Sicherheitszertifikaten gab.

Ab April 2018 beginnt Google schrittweise damit die SSL-Zertifikate von Symantec nicht mehr als vertrauenswürdig einzustufen. Ab Oktober desselben Jahres werden dann sämtliche Symantec-Zertifikate, die vor dem 01.06.2016 ausgestellt wurden, für nicht vertrauenswürdig erklärt. Davon sind ebenfalls Tochterfirmen von Symantec betroffen wie Thawte, VeriSign, Equifax, GeoTrust oder RapidSSL.

Mit dieser Entscheidung von Google spitzt sich das bereits geschädigte Vertrauensverhältnis zwischen dem Suchmaschinengiganten und dem großen Softwarehaus weiter zu. In den vergangenen Jahren hatte Symantec insgesamt über 30.000 Zertifikate nicht korrekt ausgestellt. Weiteren Streit gab es im Jahr 2015 wegen eines falschen Google-Zertifikats und wegen diverser anderer Probleme mit den Zertifikaten.

Der entstandene Imageschaden hat weitreichende Folgen: Ende 2017 entschied sich das Softwareunternehmen dafür seine Zertifikatssparte an DigiCert weiterzuverkaufen. Zwischenzeitlich war Symantec die größte Certificate Authority (CA) auf dem Markt – daher sind viele Firmen von folgenden Auswirkungen betroffen.

Welche Folgen haben ungültige SSL-Zertifikate für Website-Betreiber?

SSL-Zertifikate sind ein wesentliches Sicherheitsmerkmal für Websites und sind grundsätzlich an dem vorangestellten „https“ vor einem Domain-Namen zu erkennen, sowie an einem grünen Schloss-Symbol in der Adresszeile. Mit dieser Verschlüsselungstechnologie wird sichergestellt, dass sensible Kundendaten nicht von Dritten abgefangen werden können. Besonders für Banken, Online-Shops oder Intranet-Anwendungen ist ein gültiges SSL-Zertifikat daher enorm wichtig für die Datensicherheit.

Außerdem dienen Sie für Website-Besucher als ein wichtiges Vertrauenssignal. Wenn ein SSL-Zertifikat ungültig ist spielen Browser wie Google Chrome, Firefox oder der Microsoft Edge in der Regel eine Warnmeldung aus und versuchen den Nutzer gerechtfertigter Weise davon abzuhalten eine Website zu betreten.

Das sollten Website-Betreiber jetzt für die Sicherheit tun

Folgende Schritte empfehlen wir Ihnen zu beachten, um nicht von der Runterstufung von Symantec durch Google negativ beeinflusst zu werden und so evtl. wertvolle Besucher zu verlieren. Für die Kunden unserer Webentwicklung haben wir die entsprechenden Maßnahmen bereits getroffen.

1) Überprüfen Sie, ob das SSL-Zertifikat Ihrer Website betroffen ist: Dafür öffnen Sie eine aktuelle Version des Google Chrome Browser und rufen darin ihre Website auf. Klicken Sie mit rechts auf eine leere Fläche und wählen Sie „Untersuchen“ aus, um die Developer Tools zu aktivieren. Oben rechts befindet sich ggf. ein gelbes Warndreieck. Wenn Sie dieses öffnen sollte am unteren Bildschirmrand folgende Meldung erscheinen, falls Sie eines der betroffenen Symantec-Zertifikate besitzen:

„The SSL certificate used to load resources from https://www.meinedomain.de will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.“

2) Ist das Zertifikat vor dem 01.06.2016 erworben, dann wird mit der Google Chrome Version 66, die Mitte April 2018 erscheint, Ihre Website als unsicher markiert. In diesem Fall sollten Sie das Zertifikat dringend gegen ein anderes eintauschen, oder zumindest auf eine neue Version aktualisieren lassen.

3) Ab Ende Oktober, mit dem Erscheinen von Chrome 70 werden alle weiteren SSL-Zertifikate aus der alten Symantec-Infrastruktur für ungültig erklärt. Das betrifft jedoch nicht die nach dem 01.12.2017 erworbenen Zertifikate vom neuen Vertragspartner DigiCert. Spätestens zu diesem Zeitpunkt sollten Sie kein SSL-Zertifikat, egal welchen Alters, von Symantec mehr nutzen.

Was passiert, wenn die SSL-Zertifikate von Symantec ungültig werden?

Durch die erhöhte Anzahl an Warnmeldungen, welche alle Nutzer des Chrome-Browser sehen werden, ist bei Nicht-Aktualisierung mit einem erheblichen Einbruch der Besucherzahlen zu rechnen. Zudem ist es denkbar, dass einige Google-Dienste wie z.B. AdWords nicht mehr fehlerfrei benutzbar sein werden.

Andererseits ist davon auszugehen, dass wir ebenfalls Auswirkungen innerhalb der Suchergebnissseiten auf Google vermutlich sehen werden. Es wäre nur logisch, da Google Symantec-Zertifikate für unsicher hält, dass Websites mit einem veralteten Zertifikat im Ranking benachteiligt werden. Das würde sich also auch auf die Suchmaschinenoptimierung von Websites auswirken. Wer jedoch auf aktualisiertes SSL-Zertifikat von DigiCert setzt, hat nichts zu befürchten. Auch die neuen Zertifikate der Tocherfirmen von Symantec sind wieder zuverlässig.

Wir empfehlen Ihnen mit Ihrem Hosting-Service oder Zertifikatsanbieter über die kommenden Updates des Google Chrome Browser zu sprechen, und ggf. zu klären, ob Sie von den Einschränkungen für Symantec-Zertifikate betroffen sind. Für die Kunden unserer IT-Agentur hat die Hosting-Abteilung bereits alle notwendigen Prozesse im Hintergrund koordiniert und in die Wege geleitet. Wenn Sie also eine Website von OEVERMANN haben, brauchen Sie sich keine Sorgen wegen der Symantec-Zertifikate machen.

Wenn Sie weitere Beratung wünschen, sind wir gerne für Sie da! Als Experten für Managed Hosting Lösungen und Cloud-Systeme können wir Sie jederzeit fachlich beraten und helfen Ihnen gerne dabei Ihre Anwendung auf dem neusten Stand zu halten.

Beitrag von Sanje Gautam
Zur Übersicht
0 Kommentare

Klicken, um ein neues Bild zu erhalten

Die mit einem * gekennzeichneten Felder sind Pflichtfelder.

Blockchain: Kann die Technologie mehr als nur Bitcoin?

Der Begriff Blockchain ist seit einiger Zeit in aller Munde – doch was steckt hinter dieser komplexen Technologie? Wie funktioniert das Prinzip der B...

06-03-2018

Lohnt sich IT-Outsourcing?

IT-Outsourcing ist zur gängigen Praxis vieler Firmen geworden. Für wen lohnt sich der Griff zum Drittanbieter?

29-12-2017