Google hat die Symantec Certificate Authority (CA) aus dem Trust Store seines Chrome Browsers geworfen. Andere Browser-Hersteller werden nachziehen und in der Konsequenz sind SSL-Zertifikate unbrauchbar, die von Symantec’s CA ausgestellt wurden. Es gibt aber keinen Grund zur Panik. Die Ankündigungen ließen Zeit zur Vorbereitung.
Symantec und Google Chrome: Was ist passiert?
Symantec war bis Ende 2017 Betreiber einer der größten Certificate Authorities (CA). Tausende Webseiten setzen SSL-Zertifikate ein, die von Symantec ausgestellt wurden. Das erfolgte über Anbieter wie z.B. Geotrust, Thawte und Verisign. Was nun folgt, ist eine schwer zu überblickende Geschichte, die hier nur verkürzt und unvollständig wiedergegeben werden kann:
Nachdem mehrmals von Symantec für Testzwecke illegitim ausgestellte Zertifikate für Domains wie u.a. google.com und example.com aufgefallen waren, sind Google und Symantec über die Unterstützung des Certificate Transparency Projekts in Streit geraten. Google beschloss, Symantec und seiner CA endgültig das Vertrauen zu entziehen. Ursprünglich war mit der Chrome-Version 70 geplant, die Symantec CA aus dem Trust Store des Browser zu verbannen. Somit sollten Webseiten, die mit einem SSL-Zertifikat von Symantec geschützt sind, nicht mehr mit Chrome aufrufbar sein oder eine Fehlermeldung anzeigen. Bereits im Vorfeld wurde das in der Entwickler-Version von Chrome so umgesetzt. Andere Browser-Hersteller folgen dem Vorbild von Google.
Der Release von der Chrome-Version 70 setzt die Maßnahme aktuell nicht um. Auch bei Firefox ist der Schritt aufgeschoben worden. Es bleibt also eine Frage der Zeit, bis die Unterstützung für Symantec-Zertifikate wegfällt.
Die aktuelle Situation: Zertifikate erneuern, neu ausstellen oder Let’s Encrypt?
SysEleven bestellt in seinen Managed Services bis auf wenige Ausnahmen schon immer Zertifikate mit 12 Monaten Laufzeit. Durch die Frist zwischen den Zeitpunkten des Betriebsendes der Symantec CAs (01.12.2017) und dem Ende des Vertrauens für Symantec-Zertifikate mit dem Release der Chrome-Version 70 (16.10.2018) von nur wenig unter 12 Monaten – und damit der Laufzeit von SSL-Zertifikaten bei SysEleven – ist die Anzahl der betroffenen Zertifikate bei unseren Kunden überschaubar. Wir haben alle betroffenen Kunden informiert.
Es gibt zwei Möglichkeiten ein solches Zertifikat neu ausstellen zu lassen.
- Re-Issue: Die Anbieter stellen in der Regel kostenfrei ein neues Zertifikat mit demselben Ablaufdatum aus. Das macht nur Sinn, falls die verbliebene Laufzeit hoch ist. Was im Anschluss getan werden muss, ist der Tausch des Zertifikats auf Webserver oder Load Balancer.
- Re-New: Hier wird z.B. bei Geotrust eine verbleibende Laufzeit von maximal 90 Tagen auf die Laufzeit eines neuen Zertifikats angerechnet. Es fallen hierbei die Kosten einer Verlängerung und des Zertifikatstauschs an.
Eine weitere Option ist die Umstellung auf Let’s Encrypt. Das Verfahren ist mittlerweile ohne Vorbehalte auf produktiven Systemen einsetzbar. Es werden allerdings nur Clients unterstützt, die Let’s Encrypt als vertrauenswürdig ansehen – ältere Clients werden dann vom Zugriff auf verschlüsselte Webseiten ausgeschlossen. Das ist z.B. bei Android-Versionen vor v2.3.6 oder dem Internet Explorer für Windows XP (vor SP3) der Fall.
Let’s Encrypt ist ein Angebot der gemeinnützigen Internet Security Research Group und wird von vielen Unternehmen und Institutionen gesponsert, darunter die Electronic Frontier Foundation, die Mozilla Foundation, Akamai, Google und vielen anderen. SysEleven richtet auf Wunsch Let’s-Encrypt-Zertifikate und deren automatische Verlängerung für Kundensysteme ein, ist aber nicht selbst Anbieter oder Reseller von Let’s Encrypt. Der Dienst selbst ist bisher kostenfrei.
Let’s Encrypt bietet ausschließlich eine Domain-Validierung an. Organisation oder Extended Validation werden nicht angeboten. Für diese Fälle ist weiterhin der Kauf eines SSL-Zertifikats beispielsweise von Geotrust erforderlich.
Bei Fragen zu diesem Thema stehen unseren Kunden wie immer die persönlichen Ansprechpartner zur Seite.
