TLS-Zertifikate von Symantec – ein Problem | September 2018

Viele Webseiten verwenden/verwendeten TLS-Zertifikate von Symantec. Insbesondere solche, die vor dem 1. Juni 2016 ausgestellt wurden, gelten als unsicher. Im Browser erscheint in diesen Fällen eine deutliche Warnung vor den Webseiten.

TLS-Zertifikate von Symantec
Illustration: eb / ebblogs

TLS-Zertifikate von Symantec

Seit vielen Jahren stellen Symantec und die Tochterunternehmen Thawte, VeriSign, Equifax, GeoTrust und RapidSSL Sicherheitszertifikate für Webseiten aus. Diese waren auch lange Zeit recht beliebt. Dennoch haperte es wohl etwas an der Zuverlässigkeit.

Bereits 2015 hatte Google Symantec bezichtigt, mit falschen Google-Zertifikaten zu arbeiten. Schließlich seien diese weder von Google angefordert noch autorisiert worden. Schlussendlich entzog nicht nur Google den TLS-Zertifikaten von Symantec das Vertrauen.

Sicherheitszertifikate

TLS (Transport Layer Security) stellt eine abgesicherte Verbindung zwischen dem „Kunden“ und dem „Anbieter“ einer Webseite her. Dementsprechend sind Vertraulichkeit, Integrität und Authentizität besonders wichtig.

Die Verschlüsselung der Daten auf dem Transportweg soll verhindern, dass die übermittelten Daten von Dritten abgefangen oder ausgelesen werden.
Insbesondere bei Online-Shops dient Integrität der Vorbeugung vor Manipulationen bei Bestellungen.
Darüber hinaus soll Authentizität die Identität eines Webseiten-Betreibers verifizieren bzw. die Domain validieren. Gerade in diesem Punkt hängt die Zuverlässlichkeit maßgeblich von einer korrekten Überprüfung der Angaben des Webseiten-Betreibers durch die Zertifizierungsstelle ab.

Sichere Webseiten

Bereits seit 2017 warnen Browser vor dem Aufrufen unsicherer Webseiten. Hierdurch lassen sich zunehmend mehr Nutzer vom Besuch einer solchen Seite abschrecken. Nicht nur deshalb sind Sicherheitszertifikate für Webseiten-Betreiber wichtig. Schon seit längerem ist also der Anreiz, Webseiten abzusichern, gegeben. Dennoch gibt es immer noch Betreiber, die auf eine Verschlüsselung verzichten.

Eine sichere Webseite erkennst du daran, dass die URL mit https beginnt. Darüber hinaus befindet sich bei den meisten Browsern vor der URL ein grünes Schloss.

Reaktion der Browser-Anbieter

Nach Schätzung des Mozilla-Projekts nutzen noch ca. 3,5 % der größten Webseiten TLS-Zertifikate von Symantec. Seit einigen Monaten stufen die drei großen Browser Chrome, Safari und Firefox TLS-Zertifikate von Symantec als unsicher ein.

Google wird ab Chrome Version 60, die wohl Mitte Oktober erscheinen wird, eine Warnung vor diesen Webseiten einblenden.
Ab Herbst 2018 wird Safari alle von Symantec ausgestellten, ungültigen Zertifikate zurückweisen.
Auch Mozilla wird nach dem nächsten Firefox-Update, voraussichtlich am 23. Oktober 2018, diese Zertifikate bemängeln.

Quelle: PC Welt

Konsequenzen für Webseiten-Betreiber

Grundsätzlich sollten alle Webseiten-Betreiber, deren Seiten noch ein altes TLS-Zertifikat von Symantec haben, schnellstmöglich auf ein anderes Zertifikat umstellen.

Inzwischen hat sich Symantec mit DigiCert zusammen getan und baut eine neue Infrastruktur auf. Nach Angaben des Unternehmens stellt es als Ersatz für die alten kostenlos neue (DigiCert-)Zertifikate aus. Jedoch ist für alle Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden und am oder nach dem 15. März ablaufen sind, die Neuausgabe abgeschlossen. Anders sieht es bei Zertifikaten aus, die ab dem 1. Juni 2016 und vor dem 1. Dezember 2017 ausgestellt wurden und am oder nach dem 13. September 2018 ablaufen. Hierfür empfielt das Unternehmen, sie vor dem 13. September 2018 zu ersetzen.

Quelle: digicert – Symantec

Fazit

Zukünftig stufen Google, Apple, Mozilla etc. alle http-Webseiten als unsicher ein. Es erscheint ein deutlicher Warnhinweis. Je nach Browser ist er verbunden mit der Frage, ob du die Seite tatsächlich aufrufen möchtest. Unter Umständen verweigert der Browser das Öffnen einer solchen Seite auch ganz.

Spätestens jetzt solltest du das alte Symantec-Zertifikat ersetzen. Falls deine Webseite noch gar kein Zertifikat hat, solltest du umgehend eines installieren. Einerseits wird sie u. U. bei der Suche bevorzugt. Andererseits schafft das auch mehr Vertrauen bei deinen Besuchern.

Natürlich ist es dir überlassen, ob du nach den Problemen mit den TLS-Zertifikaten von Symantec jetzt eines von Digicert ausstellen lässt. Doch gibt es einige wesentlich vertrauenswürdigere Anbieter, die bisher nicht negativ aufgefallen sind. Eventuell erkundigst du dich auch einmal bei deinem Hosting-Anbieter.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.