Google has announced that it will withdraw its trust from Symantec CAs (certification authorities) from 2018. A corresponding article can be found in the Google Security Blog:
Specifically, this means that websites or services that work with certificates issued by Symantec are no longer considered trustworthy by Chrome, which affects all certificates issued by Symantec before June 1, 2016. This also affects the certificates of the other certification authorities operated by Symantec: Thwate, Verisign, Equifax, GeoTrust and RapidSSL. Symantec was previously the market leader and the certification authority and is now selling the certificate business to DigiCert.
A relatively expensive wildcard certificate from Thwate, which was issued in May 2016 and would actually still be valid until May 2019, loses a good half of its term. Great thing...
The exact dates when Chrome will no longer trust the Symantec certification authorities can be found in the article linked above. Other browsers will probably continue to trust Symantec for the time being. However, Chrome will respond with the nice warning for the foreseeable future:
Free SSL certificates, which are also supported by all common operating systems and browsers, are available from Let's Encrypt. From January 2018, Let's Encrypt also plans to issue wildcard SSL certificates.
Das wird total krass, tja aber Symantec hat wohl auch an diverse Behörden private Schlüssel verteilt…
Ach ja: Der Böse ist in diesem Fall ausnahmsweise nicht Google, oder nicht nur.
Symantec hat wohl über einen gewissen Zeitraum Zertifikate ausgegeben ohne die entsprechenden Regeln zu beachten, trotz mehrerer Ermahnungen.
Aber darüber hinaus will Google selbst ins Zertifikatsgeschäft und Symantec ist bzw. war der Größte. So ein Zufall… ;-)
Auf der entsprechenden Website von Google die dieses Problem beschreibt steht sogar dass ab Chrome Version 7 keinem Symantec CA Zertifikat mehr vertraut wird welches vor der Komplettumstellung der Zertifikatausgabe (ca. Dezember 2017) ausgestellt wurde bzw. wird. Oder habe ich da was falsch verstanden?
Das betrifft, wie Franky es oben bereits geschrieben hat, nur Zertifikate die VOR dem 1 Juni 2016 ausgestellt wurden.
Musste grad auch zweimal lesen, da wir erst im Mai diesen Jahres auf Wildcard von Thawte umgestiegen sind.
Starting with Chrome 66, Chrome will remove trust in Symantec-issued certificates issued prior to June 1, 2016. Chrome 66 is currently scheduled to be released to Chrome Beta users on March 15, 2018 and to Chrome Stable users around April 17, 2018.
Habe diesen Monat auch von GeoTrust ein 3 Jahreszertifikat erworben. Wie kommen die Bommel von Google nur auf es schmale Brett?
Da soll man Zertifikate erwerben und dann so ein Mist. Verstehe die Denke nicht. Kann mich jemand aufklären bitte.
Ups, das ist aber schlecht! Habe ich richtig verstanden das Zertifikate welche NACH dem 01.06.2016 z.B. von GeoTrust ausgestellt wurden nicht betroffen sind?
Ich nutze GeoTrust für fast alle meine eigenen und auch Kundenzertifikate. Das wäre sonst ein schöner Schlamassel…