Der Austausch von personenbezogenen Daten über das Internet ist von Website-Betreibern gesichert per HTTPS zur Verfügung zu stellen. Aus diesem Grund setzen viele Unternehmen bereits seit längerer Zeit seitenweit SSL-Zertifikate ein.
Aufgrund des laut Google „…nachhaltig gestörten Vertrauens in die Zuverlässigkeit von Symantecs Infrastruktur..“ (Quelle heise.de ) hat der Suchmaschinenanbieter nun entsprechende Maßnahmen angekündigt.
So erhält der Besucher zukünftig Warnhinweise im Google-Browser Chrome beim Aufruf einer Website, wenn diese ein von Symantec autorisiertes SSL-Zertfikat im Einsatz hat. Mehr dazu bei Google.
Betroffen sind Webseiten-Betreiber, die ein Symantec Zertifikat, wie zum Beispiel Thawte, VeriSign, Equifax, GeoTrust oder RapidSSL im Einsatz haben.
Die Roadmap von Google sieht diesbezüglich bereits einen konkreten zeitlichen Ablauf vor:
- Mitte März 2018: Mit der Veröffentlichung der Chrome 66 Beta Version wird keinen Symantec-Zertifikaten mehr vertraut, die vor dem 1. Juni 2016 ausgestellt wurden. Somit erhalten zum Beispiel Entwickler und Pre-Tester im Browser den Hinweis, dass das eingesetzte SSL-Zertifikat nicht vertrauenswürdig ist.
- Mitte April 2018: Mit der Veröffentlichung der stabilen Chrome 66 Version ist davon auszugehen, dass die breite Öffentlichkeit mit dem Warnhinweis konfrontiert wird.
- Mitte September 2018: Mit der Veröffentlichung der Chrome 70 Beta Version wird sämtlichen Symantec-Zertifikaten das Vertrauen entzogen. Benutzer erhalten im Browser grundsätzlich eine Warnung, dass das SSL-Zertifikat nicht vertrauenswürdig ist.
- Mitte Oktober 2018: Die Chrome 70 Version erscheint als Stable-Version. Somit ist mit einer hohen Verbreitung des Browsers und den damit verbundenen generellen Warnhinweisen beim Einsatz von Symantec-Zertifikaten zu rechnen.
Welche Optionen haben Sie als Website-Betreiber, wenn Sie eines der genannten Zertifikate im Einsatz haben:
-
Alles zunächst so belassen wie es ist
In diesem Fall erhält der Benutzer über den Chrome Browser ab März bzw. April 2018 eine Fehlermeldung („Zertfikat nicht vertrauenswürdig…“) beim Aufruf Ihrer Website per HTTPS.
-
Aktuelles Zertifikat aktualisieren, so dass zunächst kein Warnhinweis beim Aufruf Ihrer Website erfolgt.
Dies kann als Interimslösung angesehen werden. Nachteil: Für die Aktualisierung des bestehenden Zertifikats entsteht bei Ihnen bzw. Ihrem Dienstleister ein Zusatzaufwand. Spätestens ab September 2018 ist der Einsatz eines anderen Zertifikats auf jeden Fall vorzusehen.
-
Einrichtung eines neuen SSL-Zertifikates ab März 2018.
Sie setzen ein neues Zertifikat ein, welches auch von Google Chrome akzeptiert wird. Hier kann zum Beispiel das Zertifikat Let’s Encrypt zum Einsatz kommen. Ein weiterer Vorteil ist, dass es sich dabei um eine „freie“ bzw. „offene“ Zertifizierungsstelle handelt. Das Zertifikat kann gebührenfrei eingesetzt werden. Die Entwicklung und Finanzierung des Projektes erfolgt – gemäß dem OpenSource Leitmotiv – durch das Engagement der Community und durch Spenden.