So ersetzen Sie ein ungültiges SSL-Zertifikat
Die beliebten Webbrowser Google Chrome und Mozilla Firefox haben kürzlich angekündigt, SSL-Zertifikate der Firma Symantec nicht mehr zu akzeptieren, sofern diese vor dem 1. Dezember 2017 ausgestellt wurden. Grund dafür ist das nachhaltig zerstörte Vertrauen in das Software-Unternehmen, das Google zufolge gegen die Richtlinien der Zertifizierung verstoßen hat.
Bei einem SSL-Zertifikat handelt es sich um einen Datensatz, der es ermöglicht, die Authentizität und Integrität einer Website zu prüfen. Von einer Drittpartei verifizierte Zertifikate schaffen Vertrauen und sind die Voraussetzung für den Transfer sensibler Informationen im World Wide Web.
SSL-Zertifikate von IONOS!
Wahren Sie dank SSL-Zertifikaten die Geheimhaltung Ihres Online-Verkehrs und stärken Sie das Vertrauen Ihrer Kunden in die Sicherheit Ihrer Webseite.
Gründe für das Misstrauen gegen Symantec
Die Entscheidung von Google und Mozilla, Symantec das Vertrauen zu entziehen, geht auf Unstimmigkeiten bei der Vergabe von SSL-Zertifikaten zurück, die die Browserhersteller bereits seit 2015 feststellten. Kritisiert wurde, dass das Software-Unternehmen keinen ordnungsgemäßen Authentifizierungsprozess für SSL-Zertifikate sicherstellen konnte. Die Auseinandersetzungen erstreckten sich über mehrere Monate und mündeten in einen Aktionsplan, der von Google festgelegt und durch Mozilla bestätigt wurde. Dieser umfasste im Wesentlichen zwei Maßnahmen:
- Symantec wurde auferlegt, sich mit einer anderen Zertifizierungsstelle (Certificate Authority, CA) zusammenschließen, um die Vergabe von SSL-Zertifikate über eine neue, vertrauenswürdige Infrastruktur abwickeln zu können.
- Alle vor dem 1. Dezember 2017 ausgestellten SSL-Zertifikate, die auf Symantec-Zertifizierungsstellen zurückgehen, wurden abgewertet und müssen nach Ablauf einer bestimmten Zeitspanne ohne zusätzliche Kosten für den Webseitenbetreiber ersetzt werden.
Auf den Entschluss der Browserhersteller reagierte Symantec mit dem Verkauf der Zertifizierungssparte an das Konkurrenzunternehmen DigiCert, das dank einer Modernisierung und Aktualisierung der Infrastruktur seit dem 1. Dezember 2017 vertrauenswürdige SSL-Zertifikate ausstellen kann.
Auch Symantec stellt seit dem 1. Dezember 2017 wieder richtlinienkonforme SSL-Zertifikate auf Basis einer neuen CA-Infrastruktur aus.
Chrome und Mozilla geben an, mit der Zurückweisung von Symantec-Zertifikaten im Interesse der Nutzer zu handeln. Andere Browserhersteller wie Microsoft, Apple oder Opera hingegen schätzen die Bedrohung geringer ein und zeigen Webseitenbesuchern bei entsprechenden Zertifikaten keine Warnmeldung an. Dennoch sind – unabhängig davon, wie das Sicherheitsrisiko tatsächlich zu bewerten ist – zahlreiche Webseitenbetreiber von dem Vertrauensentzug durch Google und Mozilla betroffen.
Ab wann sollten Symantec-Zertifikate ersetzt werden?
Seit dem 16. April 2018 bekommen Nutzer von Chrome 66 (und höher) Sicherheitswarnungen angezeigt, sobald diese versuchen, auf eine SSL-verschlüsselte Website mit einem älteren Symantec-Zertifikat zuzugreifen. Die Warnung erscheint bei SSL-Zertifikaten, die vor dem 1. Juni 2016 ausgestellt wurden. Mit dem Release von Chrome 70 im Oktober 2018 wird Google diese Maßnahme auch auf neuere Zertifikate von Symantec ausweiten. Die neue Version des beliebten Webbrowsers sowie alle folgenden werden sämtliche Symantec-Zertifikate ablehnen, die vor dem 1. Dezember 2017 ausgestellt wurden.
Der Warnhinweis hindert Internetnutzer nicht am Besuch betroffener Webseiten. Auch die Funktionalität des Internetangebots bleibt unberührt. Google warnt lediglich vor einem Datenaustausch über eine nicht ausreichend gesicherte Verbindung. Dem Webseitenbesucher bleibt somit die Wahl: Entweder er folgt dem Sicherheitshinweis und verlässt die Seite oder er akzeptiert das SSL-Zertifikat trotz Warnung und besucht die Seite auf eigene Gefahr.
Folgende Grafik zeigt eine von Google veröffentliche Timeline. Diese gibt an, wann Webseitenbetreiber dem Browserhersteller zufolge einen Austausch des SSL-Zertifikats anstreben sollten.
So überprüfen Sie den Status Ihres SSL-Zertifikats
Um herauszufinden, ob Ihre Webseite von Änderungen in den Sicherheitseinstellungen von Google Chrome und Mozilla Firefox betroffen ist, empfehlen wir Ihnen, die Gültigkeit Ihres SSL-Zertifikats zu überprüfen. Im Internet finden Sie zahlreiche Onlinetools, die Ihnen helfen, SSL-Zertifikate zu validieren. Am einfachsten jedoch ist es, die Gültigkeit Ihres Zertifikats mit einen Aufruf Ihrer Website im Browser sicherzustellen. Wir zeigen Ihnen, wie Sie dabei vorgehen.
Google Chrome
Um Ihr SSL-Zertifikat mit Chrome zu überprüfen, rufen Sie Ihre Website im Browser auf. Neben der URL im Adressfeld sehen Sie ein Symbol, das Ihnen einen Hinweis zum Status des SSL-Zertifikats gibt. Möglich sind folgende Symbole:
- ein grünes Schloss (sichere Verbindung)
- ein gelbes Ausrufezeichen (kein Zertifikat vorhanden)
- ein leeres Seitensymbol (diese Website benötigt keine vorherige Authentifizierung)
- ein Schloss-Symbol mit einem gelben Dreieck (Zertifikat vorhanden, aber der Sicherheitsstandard ist niedrig)
- ein rotes Vorhängeschloss (Website hat Zertifikatsprobleme)
Klicken Sie auf das Symbol, um Detailinformationen zum SSL-Zertifikat anzurufen. Es erscheint ein Drop-down-Menü. Wählen Sie den Menüpunkt „Zertifikat“, um sich Zertifikatsinformationen in einem separaten Dialogfenster anzeigen zu lassen.
Informationen zur Gültigkeitsdauer Ihres Zertifikats finden Sie unter dem Reiter „Details“.
Mozilla Firefox
Das Verfahren, um die Gültigkeit eines SSL-Zertifikats mit Mozilla Firefox zu überprüfen, entspricht mehr oder weniger dem Vorgehen mit Google Chrome. Auch Firefox-Nutzer bekommen den Status eines SSL-Zertifikats in Form eines Symbols neben der Adresszeile angezeigt. Möglich sind folgende Symbole:
- ein grünes Vorhängeschloss (sicher)
- ein graues Vorhängeschloss mit einem gelben Ausrufezeichen (Verbindung ist möglicherweise nicht sicher)
- ein graues Vorhängeschloss mit einer roten Linie (Verbindung ist nicht sicher)
Ein Klick auf das Symbol öffnet ein kleines Pop-up-Fenster, das Informationen zum SSL-Zertifikat enthält. Über einen Pfeil auf der rechten Seite gelangen Sie zum Menüpunkt „Website-Sicherheit“. Klicken Sie auf die Schaltfläche „Weitere Informationen“, um die Seiteninformationen abzurufen. Auf der Registerkarte „Sicherheit“ finden sie die Schaltfläche „Zertifikat anzeigen“. Über diese öffnen Sie die Zertifikat-Ansicht in einem neuen Dialogfenster. Die Gültigkeitsdauer des SSL-Zertifikats finden Sie im Register „Allgemein“.
Timeline für den Austausch
Die Timeline zum Austausch betroffener SSL-Zertifikate entspricht den Release-Daten der Webbrowser-Versionen Chrome 66 und Chrome 70.
Phase I – SSL-Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, werden von Chrome 66 abgelehnt. Der Stichtag für den Austausch von SSL-Zertifikaten, die vor diesem Datum ausgestellt wurden, war der 15. März 2018.
Phase II – Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden, werden von Chrome 70 abgelehnt. Alle vor diesem Datum ausgestellten SSL-Zertifikate sollten bis zum 13. September 2018 ersetzt werden. Wurde Ihr SSL-Zertifikat nach dem 1. Dezember 2017 ausgestellt, ist kein Austausch notwendig. Auch Chrome 66 zeigt Nutzern bei entsprechenden Zertifikaten bereits eine Warnung in den Chrome-Developer-Tools an:
Webseitenbetreiber, die es versäumen, ihr SSL-Zertifikat vor dem Release von Chrome 70 zu ersetzen, riskieren, dass Internetnutzer beim Besuch der Website folgenden Warnhinweis angezeigt bekommen:
Erforderliche Maßnahmen
Alle betroffenen Symantec-Zertifikate sollten im Rahmen einer Neuausstellung (Reissue) ersetzt werden. Dabei wird für Ihre Domain ein neues SSL-Zertifikat mit gleichem Ablaufdatum bereitgestellt.
Wenn Ihr SSL-Zertifikat vor dem 13. September 2018 (Release Chrome 70 Beta) abläuft, besteht kein Handlungsbedarf.
Symantec bzw. DigiCert bieten betroffenen Kunden kostenlos ein neues SSL-Zertifikat an.
Für jedes SSL-Zertifikat, das Sie ersetzen bzw. neu ausstellen lassen möchten, muss eine separate Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) eingereicht werden. Dabei handelt es sich um ein Standardverfahren, mit dem Sie DigiCert Ihren Public Key, Informationen über Ihr Unternehmen sowie Ihren Domain-Namen zukommen lassen. Nachdem ihre Anfrage eingegangen ist, revalidiert DigiCert Ihre Daten und übermittelt Ihnen das neue SSL-Zertifikat.
Beachten Sie: IONOS Kunden wenden sich nicht direkt an DigiCert. Stattdessen werden SSL-Zertifikate bequem über das IONOS Control Center ersetzt. Um neuesten Sicherheitsstandards gerecht zu werden und volle Browser-Kompatibilität zu gewährleisten, wird die Neuausstellung des SSL-Zertifikats für IONOS-Kunden automatisch durchgeführt. Klicken Sie hier um weitere Informationen zu erhalten.
Ähnliche Artikel
HPKP: Das steckt hinter der Public-Key-Pinning-Erweiterung für HTTP
SSL/TLS-Zertifikate spielen bei der Übertragung sensibler Daten eine immer wichtigere Rolle. Sie garantieren, dass Datenpakete ohne Umwege zum gewünschten Adressaten gelangen. Probleme treten nur dann auf, wenn Internetnutzer durch ungültige Zertifikate von dubiosen Zertifizierungsstellen gezielt umgeleitet werden – ein Szenario, das sich mit dem sogenannten HTTP Public Key Pinning (HPKP)…
Internet Security: Sichere Websites mit SSL und HTTPS
Das Thema Datensicherheit wird zunehmend wichtiger, sowohl im privaten als auch im professionellen Bereich. Als Website-Betreiber sollte man alle Vorkehrungen treffen, um den Besuch auf seiner Seite so sicher wie möglich zu machen und eine risikofreie Datenübertragung zu gewährleisten. Indem Sie Ihre Website auf HTTPS umstellen, absolvieren Sie den ersten Schritt zu mehr Sicherheit und einem…
Sitemaps – das muss man darüber wissen!
Sitemaps gehören eigentlich zur Standardausstattung einer Website, doch scheinen sie mehr und mehr aus dem World Wide Web zu verschwinden. Manche Online-Auftritte verstecken die Navigationsdatei oder verzichten gar ganz auf sie. Wir erklären, warum Suchmaschinen wie Google den Sitemaps immer noch sehr viel Beachtung schenken, wie wichtig Sitemaps demnach fürs SEO sind und wie Sie selbst Sitemaps…
SSL-Zertifikat
Sicherheit im Internet verliert niemals an Bedeutung: Unabhängig davon, ob Sie selbst eine Website betreiben oder nur im Internet surfen, sollten Sie auf jeden Fall die Grundlagen von Web-Security verstehen. Aus diesem Grund erklären wir Ihnen, was genau SSL-Zertifikate sind, wofür man sie braucht und welche verschiedenen Zertifikatstypen es gibt.
HSTS: So funktioniert die HTTPS-Erweiterung
HTTPS, das Netzwerkprotokoll für die TLS-verschlüsselte Datenübertragung im World Wide Web, lässt sich in manchen Fällen umgehen. Gefährlich wird es dann, wenn verschlüsselte Webseiten unverschlüsselt via HTTP aufgerufen werden. Die HTTPS-Erweiterung HSTS (HTTP Strict Transport Security) erzwingt jedoch den Webseitenaufruf via TLS-Verschlüsselung und schließt somit eine Sicherheitslücke, die von…
