Original-URL des Artikels: https://www.golem.de/news/https-viele-webseiten-nutzen-alte-symantec-zertifikate-1802-132622.html    Veröffentlicht: 07.02.2018 12:02    Kurz-URL: https://glm.io/132622

HTTPS

Viele Webseiten nutzen alte Symantec-Zertifikate

In Kürze wird Chrome vielen alten Symantec-Zertifikaten nicht mehr trauen, eine Testversion zeigt schon jetzt Warnmeldungen. Doch viele Seiten haben noch nicht umgestellt - darunter auch prominente Seiten wie Wechat oder Spiegel Online.

Für die Zertifikate der Zertifizierungsstelle Symantec ist das Ende absehbar. Mit der im April erscheinenden Version 66 werden Zertifikate, die von Symantec vor Juni 2016 ausgestellt wurden, nicht mehr akzeptiert. Im Oktober werden dann sämtliche Zertifikate von den alten Symantec-Roots nicht mehr akzeptiert. Doch viele Webseiten sind offenbar nicht darauf vorbereitet.

Google hatte nach zahlreichen Sicherheitsproblemen und Regelverletzungen von Symantec vergangenes Jahr entschieden, die Zertifizierungsstelle schrittweise aus dem Browser zu entfernen. Andere Browser haben ähnliche Schritte angekündigt. Symantec hatte daraufhin sein Zertifikatsgeschäft an den Konkurrenten Digicert verkauft.

Viele Webseiten bald mit Zertifikatsfehlern

Der Softwareentwickler Arkadiy Tetelman hat kürzlich in einem Blogpost darauf hingewiesen, dass viele Webseiten noch Zertifikate nutzen, die im April ungültig werden. Schon jetzt werden diese in der sogenannten Canary-Version - einer Nightly-Testversion von Chrome - nicht mehr akzeptiert. Unter den Webseiten sind einige bekannte Namen, etwa Wechat, Blackberry und Apple's iCloud.

Unter den deutschsprachigen Webseiten findet man bei Spiegel Online, beim von RTL betriebenen Service wetter.de und bei der Deutschen Kreditbank alte Symantec-Zertifikate. Spiegel Online nutzt zwar für seine normale Webseite keine sicheren HTTPS-Verbindungen, aber die Login-Seite wird über HTTPS aufgerufen.

Unter den Webseiten, deren Zertifikate im Oktober ungültig werden, finden sich noch viel mehr Seiten, darunter etwa Amazon. Idealerweise sollten diese spätestens bis Juli ausgetauscht werden, da Chrome Canary ab dann möglicherweise Zertifikatswarnungen anzeigt.

Viele Namen: Geotrust, Thawte, Equifax, Verisign und RapidSSL

Symantecs Zertifikate wurden unter zahlreichen verschiedenen Markennamen verkauft, was sicher dazu beiträgt, dass die Nachricht bei vielen noch nicht ankam. Zu den Marken, unter denen Symantec Zertifikate ausgestellt hat, gehören Geotrust, Thawte, Equifax, Verisign und RapidSSL. Allerdings gibt es unter einigen dieser Marken auch neue Zertifikate, die von Digicert signiert wurden und damit auch in Zukunft gültig sind.

Wer seine eigene Webseite testen möchte, kann dafür den SSL-Labs-Test von Qualys nutzen, der entsprechende Warnungen anzeigt. Der SSL-Labs-Test orientiert sich dabei an den Release-Daten der Betaversion von Chrome, auch Seiten, für die keine Warnung angezeigt wird, können in Chrome Canary schon zu Warnungen führen. Alternativ können Webseitenbetreiber daher auch schlicht ihre Seiten in Chrome Canary aufrufen und dort testen.

Auf der Webseite von Digicert können sich betroffene Kunden informieren, wie sie ihre Zertifikate ersetzen lassen können. Alternativ können Nutzer natürlich auch auf eine beliebige andere Zertifizierungsstelle umsteigen.  (hab)


Verwandte Artikel:
Zertifikate: Trustico verwundbar für Root-Code-Injection   
(01.03.2018, https://glm.io/133089 )
Trustico/Digicert: Chaos um 23.000 Zertifikate und private Schlüssel   
(01.03.2018, https://glm.io/133077 )
Zertifikate: Startcom gibt auf   
(17.11.2017, https://glm.io/131205 )
ROBOT-Angriff: Arbeitsagentur nutzt uralte Cisco-Geräte   
(09.03.2018, https://glm.io/133258 )
Librem 5: Purism-Smartphone bekommt Smartcard für Verschlüsselung   
(09.03.2018, https://glm.io/133248 )

© 1997–2019 Golem.de, https://www.golem.de/