Mittwoch, 4. April 2018
Crossposting aus dem Google-Blog zur Onlinesicherheit
Wie bereits angekündigt entzieht Chrome der Symantec-Zertifizierungsstelle das Vertrauen. Dies betrifft auch Symantec-eigene Marken wie Thawte, VeriSign, Equifax, GeoTrust und RapidSSL. In diesem Post erfahren Website-Betreiber, wie sie feststellen können, ob sie davon betroffen sind, und was sie in diesem Falle bis wann unternehmen müssen. Werden die betreffenden Zertifikate nicht ersetzt, führt dies bei zukünftigen Versionen gängiger Browser wie Chrome dazu, dass Websites nicht mehr funktionieren.
Chrome 66
Falls eure Website ein SSL/TLS-Zertifikat von Symantec nutzt, das vor dem 1. Juni 2016 ausgestellt wurde, kann sie in Chrome 66 nicht mehr aufgerufen werden. Möglicherweise hat das bereits jetzt Auswirkungen auf eure Nutzer.
Falls ihr nicht sicher seid, ob eure Website ein solches Zertifikat verwendet, könnt ihr die Änderungen in Chrome Canary einsehen und prüfen, ob die Website betroffen ist. Wenn ihr beim Aufrufen eurer Website einen Zertifikatsfehler oder eine Warnung in DevTools wie die unten aufgeführte seht, müsst ihr euer Zertifikat ersetzen. Ein neues Zertifikat erhaltet ihr von jeder vertrauenswürdigen Zertifizierungsstelle, unter anderem von Digicert, einem Anbieter, der vor Kurzem die Zertifizierung von Symantec übernommen hat.
Chrome 66 wurde schon als Canary- und Dev-Version veröffentlicht. Auf betroffenen Websites sehen Nutzer dieser Chrome-Versionen also schon Auswirkungen. Wenn die entsprechenden Zertifikate nicht bis zum 15. März 2018 ersetzt werden, treten auch bei Nutzern von Chrome Beta Fehler auf. Falls auf eurer Website in Chrome Canary derzeit Fehler angezeigt werden, empfehlen wir euch dringend, euer Zertifikat so bald wie möglich zu ersetzen.
Chrome 70
Ab Chrome 70 werden auch die übrigen Symantec-SSL/TLS-Zertifikate nicht mehr funktionieren, was zu einem Fehler wie dem oben gezeigten führt. Wenn ihr prüfen möchtet, ob euer Zertifikat betroffen ist, ruft am besten noch heute eure Website in Chrome auf und öffnet DevTools. In der Konsole wird euch dann eine Meldung angezeigt, ob ihr euer Zertifikat ersetzen müsst.
Wenn ihr diese Nachricht in DevTools seht, solltet ihr euer Zertifikat so schnell wie möglich ersetzen. Wenn die Zertifikate nicht ersetzt werden, treten bereits ab dem 20. Juli 2018 auf eurer Website Fehler auf. Die erste Beta-Version von Chrome 70 wird um den 13. September 2018 herum veröffentlicht.
Voraussichtlicher Zeitrahmen für Chrome-Veröffentlichungen
In der folgenden Tabelle seht ihr für Chrome 66 und 70 die jeweils erste Canary- und Beta-Version sowie die stabile Version. Die ersten Auswirkungen einer bestimmten Veröffentlichung treten mit der ersten Canary-Version auf. Mit dem Erscheinen der Beta- und der stabilen Version werden immer mehr Nutzer beeinträchtigt. Website-Betreibern wird dringend empfohlen, die erforderlichen Änderungen an ihren Websites vor der ersten Canary-Version für Chrome 66 und 70 vorzunehmen, spätestens aber zu den entsprechenden Terminen der Beta-Version.
Release | Erste Canary-Version | Erste Beta-Version | Stabile Version |
Chrome 66 | 20. Januar 2018 | ~ 15. März 2018 | ~ 17. April 2018 |
Chrome 70 | ~ 20. Juli 2018 | ~ 13. September 2018 | ~ 16. Oktober 2018 |
Informationen zum Veröffentlichungszeitplan für eine bestimmte Chrome-Version findet ihr auch im Chromium-Entwicklungskalender, der aktualisiert wird, falls sich die Veröffentlichungstermine ändern.
Um die Anforderungen von Nutzern in bestimmten Unternehmen zu berücksichtigen, wird in Chrome auch eine Unternehmensrichtlinie implementiert, mithilfe derer das Misstrauen gegenüber der abgelaufenen Symantec-PKI ab Chrome 66 umgangen werden kann. Ab dem 1. Januar 2019 ist diese Richtlinie nicht mehr verfügbar und der abgelaufenen Symantec-PKI wird bei allen Nutzern misstraut.
Besondere Erwähnung: Chrome 65
Wie bereits angekündigt sind SSL/TLS-Zertifikate aus der abgelaufenen Symantec-PKI, die nach dem 1. Dezember 2017 ausgestellt wurden, nicht mehr vertrauenswürdig. Dies sollte die meisten Website-Betreiber nicht beeinträchtigen, da solche Zertifikate nur mithilfe einer besonderen Vereinbarung mit DigiCert erhältlich sind. Der Zugriff auf eine Website, die ein solches Zertifikat nutzt, schlägt dann fehl und die Anfrage wird ab Chrome 65 blockiert. Um solche Fehler zu vermeiden, sollten diese Zertifikate nur für ältere Geräte und nicht für Browser wie Chrome verwendet werden.