Wenn Google und Symantec sich streiten, sollte man sein SSL Zertifikat tauschen: Wer derzeit in der Konsole der Google Chrome Developer Tools (Strg+Shift+J -> Console) folgende Meldung sieht, sollte sich zeitnah um ein neues SSL Zertifikat kümmern. Offenbar hat sich Symantec als bekannter SSL-Zertifikat-Herausgeber mit Google überworfen, da sie immer wieder ungültige Zertifikate veröffentlicht haben sollen.
The SSL certificate used to load resources from <URL> will be distrusted in M<XX>. Once distrusted, users will be prevented from loading these resources. See <URL> for more information. (index):1 The SSL certificate used to load resources from https://www.domain.de will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
Nun hat Google die Reißleine gezogen und kündigt an, dass Besucher von Webseiten, die mit einem Symantec-SSL-Zertifkat verschlüsselt sind (und das sind immerhin ca. 40% aller SSL verschlüsselten Webseiten laut Heise), diese nicht aufrufen werden können. Als Termin dafür wird 23. Oktober 2018 genannt, da an diesem Tag die Version M70 erscheint.
D.h. bis dahin sollten alle Webseitenbetreiber, die bei Google Chrome (der meist verbreitete Browser weltweit) nicht im Regen stehen wollen, den Zertifikatanbieter wechseln, wenn sie denn derzeit auf Symantec setzen.
Mittwald stellt Symantec Zertifikate automatisch auf Let’s encrypt um
Ein Gespräch mit dem Webhoster Mittwald hat ergeben, dass dort rechtzeitig automatisch auf die kostenlosen Let’s encrypt Zertifikate umgestellt wird, weil die derzeit angebotenen Starter Zertifikate von Symantec herausgegeben werden. D.h. hier hat der Webseitenbetreiber vermutlich keinerlei eigenen Handlungsbedarf, außer er möchte nicht auf ein Let’s encrypt Zertifikat setzen. In dem Fall sollte der Webhoster kontaktiert werden, wie am besten das Zertifikat getauscht werden kann. Aus dem Backend heraus ist das nämlich derzeit nicht möglich.
Wie andere Webhoster mit dem Problem umgehen, kann ich nicht sagen. Hier sollte grundsätzlich der Webhoster kontaktiert werden, wenn die Meldung in Chrome erscheint. Wer selber seine Webseite hostet, hat ja sowieso alles in der eigenen Hand und kann sein Zertifikat tauschen, wie er gerne möchte.
Apropos Meldung in Chrome: Bei mir ist die Meldung erst erschienen, nachdem ich in meinem Virenscanner den Webshield deaktiviert habe. Dieser hat offenbar die Art des Zertifikats für den Browser verschleiert, so dass Google Chrome nicht mehr erkennen konnte, dass es sich um ein Symantec Zertifikat gehandelt hat. Wer also AVG einsetzt, sollte den Online Shield mal für einen Test deaktivieren.
Heiko Mitschke
Hallo!
Alle modernen Virenscanner und Firewalls brechen SSL- bzw. TLS-Zertifikate auf. Eine verschlüsselte Verbindung können sie nicht auf Schadsoftware untersuchen. Daher setzen sie eigene Zertifikate dazwischen.
Sie hebeln also die Sicherheit von verschlüsselten Verbindungen auf, unter dem Vorwand für mehr Sicherheit zu sorgen. Wer sich aber die Sicherheitslücken und Systemrechte von Antiviren- und „Security-Suiten“ anschaut, sollte sich den Einsatz lieber nochmal überlegen… 😉
Viele Grüße
Heiko Mitschke