Ärger mit SSL-Zertifikaten von Symantec

Symantec hat wiederholt unberechtigt SSL-Zertifikate für verschiedene Domains, darunter auch einige von Google, ausgestellt. Darauf haben Google und auch andere Browser-Hersteller angekündigt den Root-Zertifikaten von Symantec und zu diesem Unternehmen gehörende Marken (Thawte, Geotrust etc.) schrittweise das Vertrauen zu entziehen. Am 2. August 2017 hat Symantec darum entschieden, die angeschlagene Zertifikate-Sparte an DigiCert zu verkaufen. Ab dem 1. Dezember 2017 wird DigiCert die Validierung und Ausstellung aller SSL-Zertifikatmarken, die derzeit zu Symantec gehören, übernehmen.

_{Quelle: https://www.ssl247.de}

Es wird empfohlen, die SSL-Zertifikate spätestens zu folgenden Terminen zu ersetzen, da die Vertrauenstellung schrittweise entfällt:

• 1. März 2018 für Zertifikate, die vor dem 1. Juni 2016 ausgestellt wurden
• 1. September 2018 für Zertifikate, die vor dem 1. Dezember 2017 ausgestellt wurden 

aspectra wird die Kunden rechtzeitig informieren und den Austausch der Zertifikate wenn notwendig in die Wege leiten. Dies wir voraussichtlich zwischen Januar und März 2018 geschehen. SSL-Zertifikate die auslaufen oder neue Zertifikate bezieht aspectra neu von GlobalSign (nicht von DigiCert)

Es gibt weitere Kriterien, die bei der Ausstellung eines SSL-Zertifikates neuerdings erfüllt sein müssen:

• Seit dem 15.08.2017 muss bei der Bestellung zusätzlich eine der folgenden E-Mail-Adressen angegeben werden: admin@, administrator@, hostmaster@, postmaster@, webmaster@.
• Seit dem 08.09.2017 muss im DNS ein CAA-Record vorhanden sein. Mit Hilfe des CAA-Records im DNS wird festgelegt, welche CA ein Zertifikat für die Domain ausstellen darf.

Hilfreiche Tools:

• Web-Dig, womit auch CAA-Records abgefragt werden können
• CAA-Records Generator