TLS-Zertifikate von Symantec in neuer Infrastruktur und Vereinigung mit DigiCert
Die TLS-Zertifikate von der Zertifizierungsstelle Symantec werden ab Ende dieses Jahres in eine neue Infrakstruktur eingegliedert, die durch die Fusion von Symantec PKI mit dem Unternehmen DigiCert enstehen wird. Davon leitet sich die Notwendigkeit ab, die bestehenden Zertifikate neuauszustellen – das sogenannte Reissue durchzuführen. In dem folgenden Text bringen wir Ihnen alle wichtigen Informationen.
Neue PKI Infrastruktur
Als Folge eines Joint Ventures mit dem Unternehmen DigiCert kommt es zu einer Verschmelzung der PKI-Produkte (sog. Website Security Solutions) und Aktiva von Symantec mit der Zertifizierungsstelle DigiCert. DigiCert wird den Symantec-Zertifikaten als eine untergeordnete CA (SubCA) dienen, die für Symantec die Verifizierung der Zertifikate durchführen wird. Die restlichen Schritte in dem Prozess der Ausstellung der Zertifikate werden nicht betroffen und die Kunden werden die Zertifikate wie bisher erwerben.
Diese Änderung bringt mit sich einen Vorteil in der Form von Forcierung der Zertifikatsausstellung. Beide Zertifizierungsstellen werden sich ausschließlich auf die Ausstellung von TLS-Zertifikaten spezialisieren und dadurch werden die zusammenhängenden Prozesse vereinfacht und beschleunigt.
DigiCerti hat sich bisher vor allem Enterprise-Kunden gewidmet - dank der Operation wird das Unternehmen seine Tätigkeit neu auch an Endkunden erweitern können; die Kunden von Symantec werden dagegen unter mehreren Produkten auswählen können, denn das Portfolio wird um Zertifikate bereichert, die Symantec bisher nicht angeboten hat – zum Beispiel um die S/MIME-Lösungen.
Beide Zertifizierungsstellen werden nach dem Abschließen der Transaktion (Q3 2018) in ein Unternehmen zusammengeschlossen. In naher Zukunft können Sie sich somit auf eine Bereicherung unseres Angebots freuen, in welches auch die bestehenden Produkte von DigiCert einbegriffen werden. Die SSL/TLS Zertifikate von Symantec werden selbstverständlich nicht geändert.
Die Ursache des Umstieges auf die neue Infrastruktur liegt in dem Streit mit Google. Der Internetgigant wollte in Chrome den außerhalb von Certificate Transparency ausgestellten und später auch in der alten PKI von Symantec generierten Zertifikaten das Vertrauen entziehen. Durch die Operation wurde die Situation gestillt und die in der neuen Infrastruktur ausgestellten Zertifikate werden problemlos funktionieren.
Der Umstieg auf die neue PKI von Symantec und DigiCert setzt das Reissue der betroffenen TLS-Zertifikate voraus und diese Maßnahme stellt gleichzeitig eine Bedingung für die weiterbestehende Vertrauenswürdigkeit der Zertifikate dar.
Einführung der neuen Infrastruktur
Die neue Infrastruktur wird ab 1.12.2017 in Betrieb gesetzt. Neue Root-Zertifikate werden ab November zur Verfügung gestellt und in alle Listen der Root-CAs ergänzt. Es werden neue Root-Zertifikate RSA 4096 und ECC 384 entstehen. Die Produkte werden durch einzelne Sub-CAs (Intermediate-Zertifikate) besser diversifiziert.
Die Kompatibilität mit älteren Geräten wird Signieren mit einem zweiten Root-Zertifikat von Verisign G5 (sog. cross-signing Vorgang) sicherstellen.
Reissue der ausgestellten Zertifikate
Wie bereits oben erwähnt, durch den Umstieg auf die neue Infrastruktur wird die Konfrontation mit Chrome abgewehrt und die Zertifikate werden keine Probleme aufweisen. Zertifikate, die vor der Vereinigung ausgestellt worden sind, werden kostenlos neuausgestellt – nach dem folgenden Szenario:
- Zertifikate, die vor 1.6.2016 ausgestellt worden sind und die vor 13.9.2018 ablaufen, sollten gleich neuausgestellt werden
- Zertifikate, die vor 1.6.2016 ausgestellt worden sind und die nach 13.9.2018 ablaufen, sollten in dem Zeitraum 1.12.2017-15.3.2018 neuausgestellt werden
- Zertifikate, die vor 1.12.2017 ausgestellt worden sind und die nach 13.9.2018 ablaufen, sollten in dem Zeitraum 1.12.2017-13.9.2018 neuausgestellt werden
Die Neuausstellung stellt einen kostenlosen Prozess dar und kann direkt in dem Kundenzentrum durchgeführt werden. Die Parameter des Zertifikats – samt dem Ablaufdatum – bleiben gleich.
Unsere Kunden werden wir über die nötige Neuausstellung der einzelnen Zertifikate informieren. Zu jedem Kundenkonto erhalten Sie eine Liste der betroffenen Zertifikate.
Mit dem Ersatz helfen wir Ihnen gerne weiter
Jeder Kunde erhält rechtzeitig eine Liste von Zertifikaten, die in den aufgeführten Terminen neuausgestellt werden sollten. Das Kundenzentrum von SSLmarket ermöglicht diesen Prozess direkt nach dem Log-in durchzuführen, aber ebenfalls können Sie sich jederzeit an unseren Kundensupport wenden.
Sollten Sie für die Neuausstellung einen neuen CSR benötigen – im Fall von Windows Servern - können Sie ihn ebenfalls direkt im SSLmarket erstellen und nach der Ausstellung des Zertifikats können Sie für Ihren Windows Server sogar eine PFX-Datei generieren.
Hinweis: Die Code Signing Zertifikate gehen die oben wiedergegebenen Informationen nicht an.