Google entzieht Symantec SSL-Zertifikaten das Vertrauen

Zwischen dem US-amerikanischen Softwarehaus Symantec und der meistbesuchten Website der Welt kriselt es gerade gewaltig. Der Grund? Es geht um Sicherheitszertifikate. Wie SEO-Kundigen sicherlich bekannt ist, rankt Google Websites mit einer https-Verbindung höher, als solche, die keine sichere Verbindung herstellen können. SEO-Profis sind sich unumstritten einig, dass dieses Zertifikat besonders für Online-Shops Pflicht ist. Websites, die über ein Sicherheitszertifikat verfügen, müssen sich also keine Sorgen machen, oder? Leider gibt es einen Haken.

Heise Security berichtet, dass Symantec für über 40% aller ausgestellten SSL- sowie TSL-Zertifikate verantwortlich ist. Klingt zunächst einmal problemlos, ist es aber leider nicht. Der Haken ist, dass manche der Zertifikate von Symantec gefälscht wurden. Und das lässt Google nicht unbestraft, denn im Google-Browser Chrome werden Websites mit SSL-Zertifizierung von Symantec jetzt systematisch zurückgestuft – ein Fehler eines riesigen Tech-Unternehmens, der jetzt auf den Kunden zurückfällt. Ein Hinweis: Fast alle von 1&1 gehosteten Seiten verfügen über eine SSL-Verschlüsselung von Symantec. Besitzer sollten also Vorsicht walten lassen.

Um zu überprüfen, welche Websites davon betroffen sind, ist die Console der Developer Tools im Chrome-Browser die richtige Adresse. Einfach die URL eingeben und die Console gibt Auskunft. Bei Symantec-Zertifikaten wird die Meldung „The SSL certificate used to load resources from https://url.xy will be distrusted in M70.” ausgegeben. Mit M70 ist hierbei das neue Update für Google Chrome gemeint, das am 23. Oktober 2018 erscheinen soll, wie Google im Blog verkündet. Im Klartext heißt das, dass Besitzer einer Seite mit fehlerhaftem Zertifikat ab Sommer 2018 Taten sprechen lassen sollten. Ebenfalls gilt, dass ab April 2018 keine SSL-Zertifikate von Symantec für Websites mehr akzeptiert werden. Diese Maßnahme wurde von Google lange im Vorfeld diskutiert und schlussendlich durchgesetzt. Welche Folgen das für SSL-Verschlüsselungen im Allgemeinen haben wird, bleibt abzuwarten.

Interessant ist außerdem, dass die Firma Symantec eigentlich gar nicht mehr im Zertifikats-Business auftritt. Anfang 2017 übernahm der Konkurrent DigiCert die Certificate Authority (CA) für insgesamt 950 Millionen USD plus 30% der Unternehmensanteile von DigiCert. Der Grund für den Verkauf war eine weitere fatale Panne, die Symantec zu verantworten hatte. Allerdings tritt die CA weiterhin unter dem Namen und der URL auf. Ein komplizierter Unternehmensstreit, der nicht jedem gleich klar wird. Falls es noch offene Fragen zu dieser Thematik gibt, stehen wir Ihnen sehr gerne für weitere Auskünfte zur Verfügung.