Wie bereits angekündigt entzieht Chrome der Symantec-Zertifizierungsstelle das Vertrauen. Dies betrifft auch Symantec-eigene Marken wie Thawte, VeriSign, Equifax, GeoTrust, und RapidSSL. In diesem Post erfahren Website-Betreiber, wie sie feststellen können, ob sie davon betroffen sind, und was sie in diesem Falle bis wann unternehmen müssen. Werden die betreffenden Zertifikate nicht ersetzt, führt dies bei zukünftigen Versionen häufig verwendeter Browsern wie Chrome dazu, dass Websites nicht mehr funktionieren.
Chrome 66
Falls Ihre Website ein SSL/TLS-Zertifikat von Symantec nutzt, das vor dem 1. Juni 2016 ausgestellt wurde, kann sie in Chrome 66 nicht mehr aufgerufen werden. Möglicherweise hat dies bereits jetzt Auswirkungen auf Ihre Nutzer.
Falls Sie nicht sicher sind, ob Ihre Website ein solches Zertifikat verwendet, können Sie die Änderungen in Chrome Canary einsehen und prüfen, ob die Website betroffen ist. Wenn Sie beim Aufrufen Ihrer Website einen Zertifikatsfehler oder eine Warnung in DevTools wie die unten aufgeführte sehen, müssen Sie Ihr Zertifikat ersetzen. Ein neues Zertifikat erhalten Sie von jeder vertrauenswürdigen Zertifizierungsstelle, unter anderem von Digicert, die vor Kurzem die Zertifizierung von Symantec übernommen hat.
 |
| Ein Beispiel für einen Zertifikatsfehler, wie er Chrome 66-Nutzern möglicherweise angezeigt wird, wenn Sie ein abgelaufenes Legacy Symantec-SSL/TLS-Zertifikat verwenden, das vor dem 1. Juni 2016 ausgestellt wurde |
 |
| Die DevTools-Benachrichtigung, die Ihnen angezeigt wird, wenn Sie Ihr Zertifikat für Chrome 66 ersetzen müssen |
|
Chrome 66 wurde schon als Canary- und Dev-Version veröffentlicht. Auf betroffenen Websites sehen Nutzer dieser Chrome-Versionen also schon Auswirkungen. Wenn die entsprechenden Zertifikate nicht bis zum 15. März 2018 ersetzt werden, treten auch bei Nutzern von Chrome Beta Fehler auf. Falls auf Ihrer Website in Chrome Canary derzeit Fehler angezeigt werden, empfehlen wir Ihnen dringend, Ihr Zertifikat so bald wie möglich zu ersetzen.
Chrome 70
Ab Chrome 70 werden auch die übrigen Symantec-SSL/TLS-Zertifikate nicht mehr funktionieren, was zu einem Fehler wie dem oben gezeigten führt. Wenn Sie prüfen möchten, ob Ihr Zertifikat betroffen ist, rufen Sie am besten noch heute Ihre Website in Chrome auf und öffnen Sie DevTools. In der Konsole wird Ihnen dann eine Benachrichtigung angezeigt, ob Sie Ihr Zertifikat ersetzen müssen.
 |
| Die DevTools-Benachrichtigung, die Ihnen angezeigt wird, wenn Sie Ihr Zertifikat vor Chrome 70 ersetzen müssen. |
Wenn Sie diese Nachricht in DevTools sehen, sollten Sie Ihr Zertifikat so schnell wie möglich ersetzen. Wenn die Zertifikate nicht ersetzt werden, treten bereits ab dem 20. Juli 2018 auf Ihrer Website Fehler auf. Die erste Beta-Version von Chrome 70 wird um den 13. September 2018 herum veröffentlicht.
Voraussichtlicher Zeitrahmen für Chrome-Veröffentlichungen
In der folgenden Tabelle sehen Sie für Chrome 66 und 70 die jeweils erste Canary- und Beta-Version sowie die stabile Version. Die ersten Auswirkungen einer bestimmten Veröffentlichung treten mit der ersten Canary-Version auf. Mit dem Erscheinen der Beta- und der stabilen Version werden immer mehr Nutzer beeinträchtigt. Website-Betreibern wird dringend empfohlen, die erforderlichen Änderungen an ihren Websites vor der ersten Canary-Version für Chrome 66 und 70 vorzunehmen, spätestens aber zu den entsprechenden Terminen der Beta-Version.
Release
|
Erste Canary-Version
|
Erste Beta-Version
|
Stabile Version
|
Chrome 66
|
20. Januar 2018
|
~ 15. März 2018
|
~ 17. April 2018
|
Chrome 70
|
~ 20. Juli 2018
|
~ 13. September 2018
|
~ 16. Oktober 2018
|
Informationen zum Veröffentlichungszeitplan für eine bestimmte Chrome-Version finden Sie auch im Chromium-Entwicklungskalender, der aktualisiert wird, falls sich die Veröffentlichungstermine ändern.
Um die Anforderungen von Nutzern in bestimmten Unternehmen zu berücksichtigen, wird in Chrome auch eine Unternehmensrichtlinie implementiert, mithilfe derer das Misstrauen gegenüber der abgelaufenen Symantec-PKI ab Chrome 66 umgangen werden kann. Ab dem 1. Januar 2019 ist diese Richtlinie nicht mehr verfügbar und der abgelaufenen Symantec-PKI wird bei allen Nutzern misstraut.
Besondere Erwähnung: Chrome 65
Wie bereits angekündigt sind SSL/TLS-Zertifikate aus der abgelaufenen Symantec-PKI, die nach dem 1. Dezember 2017 ausgestellt wurden, nicht mehr vertrauenswürdig. Dies sollte die meisten Website-Betreiber nicht beeinträchtigen, da solche Zertifikate nur mithilfe einer besonderen Vereinbarung mit DigiCert erhältlich sind. Der Zugriff auf eine Website, die ein solches Zertifikat nutzt, schlägt dann fehl und die Anfrage wird ab Chrome 65 blockiert. Um solche Fehler zu vermeiden, sollten diese Zertifikate nur für ältere Geräte und nicht für Browser wie Chrome verwendet werden.
Gepostet von Devon O'Brien, Ryan Sleevi und Emily Stark vom Chrome-Sicherheitsteam
