So ersetzen Sie ein ungültiges SSL-Zertifikat

Die beliebten Webbrowser Google Chrome und Mozilla Firefox haben kürzlich angekündigt, SSL-Zertifikate der Firma Symantec nicht mehr zu akzeptieren, sofern diese vor dem 1. Dezember 2017 ausgestellt wurden. Grund dafür ist das nachhaltig zerstörte Vertrauen in das Software-Unternehmen, das Google zufolge gegen die Richtlinien der Zertifizierung verstoßen hat.

Fakt

Bei einem SSL-Zertifikat handelt es sich um einen Datensatz, der es ermöglicht, die Authentizität und Integrität einer Website zu prüfen. Von einer Drittpartei verifizierte Zertifikate schaffen Vertrauen und sind die Voraussetzung für den Transfer sensibler Informationen im World Wide Web.

Gründe für das Misstrauen gegen Symantec

Die Entscheidung von Google und Mozilla, Symantec das Vertrauen zu entziehen, geht auf Unstimmigkeiten bei der Vergabe von SSL-Zertifikaten zurück, die die Browserhersteller bereits seit 2015 feststellten. Kritisiert wurde, dass das Software-Unternehmen keinen ordnungsgemäßen Authentifizierungsprozess für SSL-Zertifikate sicherstellen konnte. Die Auseinandersetzungen erstreckten sich über mehrere Monate und mündeten in einen Aktionsplan, der von Google festgelegt und durch Mozilla bestätigt wurde. Dieser umfasste im Wesentlichen zwei Maßnahmen:

  1. Symantec wurde auferlegt, sich mit einer anderen Zertifizierungsstelle (Certificate Authority, CA) zusammenschließen, um die Vergabe von SSL-Zertifikate über eine neue, vertrauenswürdige Infrastruktur abwickeln zu können.
  2. Alle vor dem 1. Dezember 2017 ausgestellten SSL-Zertifikate, die auf Symantec-Zertifizierungsstellen zurückgehen, wurden abgewertet und müssen nach Ablauf einer bestimmten Zeitspanne ohne zusätzliche Kosten für den Webseitenbetreiber ersetzt werden.

Auf den Entschluss der Browserhersteller reagierte Symantec mit dem Verkauf der Zertifizierungssparte an das Konkurrenzunternehmen DigiCert, das dank einer Modernisierung und Aktualisierung der Infrastruktur seit dem 1. Dezember 2017 vertrauenswürdige SSL-Zertifikate ausstellen kann.

Hinweis

Auch Symantec stellt seit dem 1. Dezember 2017 wieder richtlinienkonforme SSL-Zertifikate auf Basis einer neuen CA-Infrastruktur aus.

Chrome und Mozilla geben an, mit der Zurückweisung von Symantec-Zertifikaten im Interesse der Nutzer zu handeln. Andere Browserhersteller wie Microsoft, Apple oder Opera hingegen schätzen die Bedrohung geringer ein und zeigen Webseitenbesuchern bei entsprechenden Zertifikaten keine Warnmeldung an. Dennoch sind – unabhängig davon, wie das Sicherheitsrisiko tatsächlich zu bewerten ist – zahlreiche Webseitenbetreiber von dem Vertrauensentzug durch Google und Mozilla betroffen.

Ab wann sollten Symantec-Zertifikate ersetzt werden?

Seit dem 16. April 2018 bekommen Nutzer von Chrome 66 (und höher) Sicherheitswarnungen angezeigt, sobald diese versuchen, auf eine SSL-verschlüsselte Website mit einem älteren Symantec-Zertifikat zuzugreifen. Die Warnung erscheint bei SSL-Zertifikaten, die vor dem 1. Juni 2016 ausgestellt wurden. Mit dem Release von Chrome 70 im Oktober 2018 wird Google diese Maßnahme auch auf neuere Zertifikate von Symantec ausweiten. Die neue Version des beliebten Webbrowsers sowie alle folgenden werden sämtliche Symantec-Zertifikate ablehnen, die vor dem 1. Dezember 2017 ausgestellt wurden.

Der Warnhinweis hindert Internetnutzer nicht am Besuch betroffener Webseiten. Auch die Funktionalität des Internetangebots bleibt unberührt. Google warnt lediglich vor einem Datenaustausch über eine nicht ausreichend gesicherte Verbindung. Dem Webseitenbesucher bleibt somit die Wahl: Entweder er folgt dem Sicherheitshinweis und verlässt die Seite oder er akzeptiert das SSL-Zertifikat trotz Warnung und besucht die Seite auf eigene Gefahr.

Folgende Grafik zeigt eine von Google veröffentliche Timeline. Diese gibt an, wann Webseitenbetreiber dem Browserhersteller zufolge einen Austausch des SSL-Zertifikats anstreben sollten.

So überprüfen Sie den Status Ihres SSL-Zertifikats

Um herauszufinden, ob Ihre Webseite von Änderungen in den Sicherheitseinstellungen von Google Chrome und Mozilla Firefox betroffen ist, empfehlen wir Ihnen, die Gültigkeit Ihres SSL-Zertifikats zu überprüfen. Im Internet finden Sie zahlreiche Onlinetools, die Ihnen helfen, SSL-Zertifikate zu validieren. Am einfachsten jedoch ist es, die Gültigkeit Ihres Zertifikats mit einen Aufruf Ihrer Website im Browser sicherzustellen. Wir zeigen Ihnen, wie Sie dabei vorgehen.

Google Chrome

Um Ihr SSL-Zertifikat mit Chrome zu überprüfen, rufen Sie Ihre Website im Browser auf. Neben der URL im Adressfeld sehen Sie ein Symbol, das Ihnen einen Hinweis zum Status des SSL-Zertifikats gibt. Möglich sind folgende Symbole:

  • ein grünes Schloss (sichere Verbindung)
  • ein gelbes Ausrufezeichen (kein Zertifikat vorhanden)
  • ein leeres Seitensymbol (diese Website benötigt keine vorherige Authentifizierung)
  • ein Schloss-Symbol mit einem gelben Dreieck (Zertifikat vorhanden, aber der Sicherheitsstandard ist niedrig)
  • ein rotes Vorhängeschloss (Website hat Zertifikatsprobleme)

Klicken Sie auf das Symbol, um Detailinformationen zum SSL-Zertifikat anzurufen. Es erscheint ein Drop-down-Menü. Wählen Sie den Menüpunkt „Zertifikat“, um sich Zertifikatsinformationen in einem separaten Dialogfenster anzeigen zu lassen.

Informationen zur Gültigkeitsdauer Ihres Zertifikats finden Sie unter dem Reiter „Details“.

Mozilla Firefox

Das Verfahren, um die Gültigkeit eines SSL-Zertifikats mit Mozilla Firefox zu überprüfen, entspricht mehr oder weniger dem Vorgehen mit Google Chrome. Auch Firefox-Nutzer bekommen den Status eines SSL-Zertifikats in Form eines Symbols neben der Adresszeile angezeigt. Möglich sind folgende Symbole:

  • ein grünes Vorhängeschloss (sicher)
  • ein graues Vorhängeschloss mit einem gelben Ausrufezeichen (Verbindung ist möglicherweise nicht sicher)
  • ein graues Vorhängeschloss mit einer roten Linie (Verbindung ist nicht sicher)

Ein Klick auf das Symbol öffnet ein kleines Pop-up-Fenster, das Informationen zum SSL-Zertifikat enthält. Über einen Pfeil auf der rechten Seite gelangen Sie zum Menüpunkt „Website-Sicherheit“. Klicken Sie auf die Schaltfläche „Weitere Informationen“, um die Seiteninformationen abzurufen. Auf der Registerkarte „Sicherheit“ finden sie die Schaltfläche „Zertifikat anzeigen“. Über diese öffnen Sie die Zertifikat-Ansicht in einem neuen Dialogfenster. Die Gültigkeitsdauer des SSL-Zertifikats finden Sie im Register „Allgemein“.

Timeline für den Austausch

Die Timeline zum Austausch betroffener SSL-Zertifikate entspricht den Release-Daten der Webbrowser-Versionen Chrome 66 und Chrome 70.

Phase I – SSL-Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden, werden von Chrome 66 abgelehnt. Der Stichtag für den Austausch von SSL-Zertifikaten, die vor diesem Datum ausgestellt wurden, war der 15. März 2018.

Phase II – Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden, werden von Chrome 70 abgelehnt. Alle vor diesem Datum ausgestellten SSL-Zertifikate sollten bis zum 13. September 2018 ersetzt werden. Wurde Ihr SSL-Zertifikat nach dem 1. Dezember 2017 ausgestellt, ist kein Austausch notwendig. Auch Chrome 66 zeigt Nutzern bei entsprechenden Zertifikaten bereits eine Warnung in den Chrome-Developer-Tools an:

Webseitenbetreiber, die es versäumen, ihr SSL-Zertifikat vor dem Release von Chrome 70 zu ersetzen, riskieren, dass Internetnutzer beim Besuch der Website folgenden Warnhinweis angezeigt bekommen:

Erforderliche Maßnahmen

Alle betroffenen Symantec-Zertifikate sollten im Rahmen einer Neuausstellung (Reissue) ersetzt werden. Dabei wird für Ihre Domain ein neues SSL-Zertifikat mit gleichem Ablaufdatum bereitgestellt.

Hinweis

Wenn Ihr SSL-Zertifikat vor dem 13. September 2018 (Release Chrome 70 Beta) abläuft, besteht kein Handlungsbedarf.

Symantec bzw. DigiCert bieten betroffenen Kunden kostenlos ein neues SSL-Zertifikat an.

Für jedes SSL-Zertifikat, das Sie ersetzen bzw. neu ausstellen lassen möchten, muss eine separate Zertifikatsignierungsanforderung (Certificate Signing Request, CSR) eingereicht werden. Dabei handelt es sich um ein Standardverfahren, mit dem Sie DigiCert Ihren Public Key, Informationen über Ihr Unternehmen sowie Ihren Domain-Namen zukommen lassen. Nachdem ihre Anfrage eingegangen ist, revalidiert DigiCert Ihre Daten und übermittelt Ihnen das neue SSL-Zertifikat.

Tipp

Beachten Sie: 1&1 IONOS Kunden wenden sich nicht direkt an DigiCert. Stattdessen werden SSL-Zertifikate bequem über das 1&1 IONOS Control Center ersetzt. Um neuesten Sicherheitsstandards gerecht zu werden und volle Browser-Kompatibilität zu gewährleisten, wird die Neuausstellung des SSL-Zertifikats für 1&1 IONOS-Kunden automatisch durchgeführt. Klicken Sie hier um weitere Informationen zu erhalten.