Ersetzen Sie Ihre SSL/TLS-Zertifikate

für Symantec, Thawte, GeoTrust und RapidSSL

Gegen Ende Juli 2017 erstellte Google Chrome einen Plan, die Vertrauenswürdigkeit aller von Symantec, Thawte, GeoTrust und RapidSSL ausgestellten SSL/TLS-Zertifikate zunächst herabzustufen und dann ganz aufzuheben (durch die Anzeige von Warnmeldungen im Chrome-Browser). Die Übergangszeit hat Google in 3 wichtige Fristen unterteilt: 1. Dezember 2017, 15. März 2018 und 13. September 2018. Zum ersten Stichtag, dem 1. Dezember 2017, mussten Sie nichts unternehmen. Für die Stichtage in diesem Jahr müssen Sie allerdings die betroffenen Zertifikate ersetzen, um Warnmeldungen in Chrome zu vermeiden. Lesen Sie unsere FAQ, um mehr über diese Stichtage und den Zeitplan von Chrome zu erfahren.

Neue Vertrauenskette

DigiCert hat die Validierung und Ausstellung für alle SSL/TLS-Zertifikate von Symantec Website Security übernommen. Hierzu zählen die Zertifikate für Symantec sowie seinen Tochter-Zertifizierungsstellen Thawte, GeoTrust und RapidSSL. Ab sofort werden alle neuen und ersatzweise ausgestellten Zertifikate von Symantec Website Security von DigiCert ausgestellt (mit einem unserer vertrauenswürdigen Root-Zertifikate) und von Google Chrome als vertrauenswürdig eingestuft.

Die neue von DigiCert erstellte Zertifikatskette beeinträchtigt die Vertrauenswürdigkeit Ihrer derzeitigen Zertifikate bei Browsern nicht. Außerdem schafft die Kette bei Google Chrome (und anderen Browsern) künftig Vertrauen für Ihre Ersatzzertifikate.

1. Schritt: Planen Sie die Ersetzung betroffener Zertifikate.

Um Warnmeldungen in Google Chrome, die Ihre SSL/TLS-Zertifikate als nicht vertrauenswürdig oder nicht sicher einstufen, zu vermeiden, ersetzen Sie Ihre betroffenen SSL/TLS-Zertifikate von Symantec Website Security vor dem entsprechenden Stichtag. Je nachdem, wann Ihre Zertifikate ausgestellt wurden, ist dies der 15. März 2018 oder der 13. September 2018. Planen Sie jetzt und veranschlagen Sie genug Zeit für die Ausstellung und Installation der Zertifikate.

Kostenlose Ersatzzertifikate

DigiCert wird alle betroffenen Zertifikate kostenlos ersetzen. Sie müssen auch nicht zu einem neuen Konto oder einer neuen Plattform wechseln. Nutzen Sie weiterhin Ihr bestehendes Symantec-Kundenkonto, um SSL/TLS-Zertifikate zu ersetzen und zu bestellen.

15. März 2018

Ungefähr ab dem 15. März 2018 wird ein Beta-Release von Google Chrome alle vor dem 1. Juni 2016 ausgestellten SSL/TLS-Zertifikate als nicht vertrauenswürdig einstufen. Die Einführung der öffentlichen Version plant Google für den 17. April 2018.

Erforderliche Maßnahme: Falls Ihr SSL/TLS-Zertifikat vor dem 1. Juni 2016 ausgestellt wurde und am 15. März 2018 oder später abläuft, ersetzen Sie es vor dem 15. März 2018.

Warten Sie nicht bis März, um Ihre betroffenen Zertifikate zu ersetzen. Domains und Unternehmen müssen validiert werden, bevor wir Zertifikate ausstellen können. Und um Warnmeldungen in Google Chrome zu vermeiden, berücksichtigen Sie bitte auch, dass Sie für die Installation der Zertifikate Zeit brauchen.

13. September 2018

Ungefähr ab dem 13. September 2018 wird ein Beta-Release von Google Chrome alle ab dem 1. Juni 2016 ausgestellten SSL/TLS-Zertifikate als nicht vertrauenswürdig einstufen. Die Einführung der öffentlichen Version plant Google für Mitte Oktober 2018.

Erforderliche Maßnahme: Falls Ihr SSL/TLS-Zertifikat ab dem 1. Juni 2016 (und vor dem 1. Dezember 2017) ausgestellt wurde und am 13. September 2018 oder später abläuft, ersetzen Sie es vor dem 13. September 2018.

Warten Sie nicht bis September, um Ihre betroffenen Zertifikate zu ersetzen. Domains und Unternehmen müssen validiert werden, bevor wir Zertifikate ausstellen können. Und um Warnmeldungen in Google Chrome zu vermeiden, berücksichtigen Sie bitte auch, dass Sie für die Installation der Zertifikate Zeit brauchen.

2. Schritt: Bereiten Sie Domains und Unternehmen vor.

Um die Anforderungen von Google Chrome hinsichtlich der Ersetzung von SSL-Zertifikaten zu erfüllen, muss DigiCert alle Domains für DV-, OV- und EV-Zertifikate erneut validieren/authentifizieren. Für OV- und EV-Zertifikate muss DigiCert außerdem das Unternehmen im entsprechenden Umfang erneut validieren/authentifizieren.

Wir werden Ihre Domains und Unternehmen in jedem Fall validieren/authentifizieren, damit wir Ihre Ersatzzertifikate ausstellen können. Mit den folgenden Maßnahmen können Sie jedoch den Zeitaufwand für die Validierung Ihrer Domains und Unternehmen verkürzen:

  • Belegen Sie, dass Sie der Eigentümer einer Domain sind (alle zu ersetzenden Zertifikate).

    Bevor wir ein Zertifikat ausstellen können, müssen Sie belegen, dass die Domains auf Ihrer Anfrage für Ersatzzertifikate Ihnen gehören. Dieses Verfahren wird als „Domain Control Validation“, kurz DCV, bezeichnet. Die Standardmethode dafür ist die Überprüfung per E‑Mail.

    Die Prüfung per E‑Mail funktioniert folgendermaßen: DigiCert schickt eine E-Mail zur Autorisierung an die im WHOIS-Verzeichnis veröffentlichten registrierten Eigentümer der Domains. Wir können auch für jede öffentlich zugängliche Domain die Autorisierungs-E-Mail an fünf generische E‑Mail-Adressen verschicken: admin@, administrator@, webmaster@, hostmaster@ und postmaster@.

    Hinweis: DigiCert schickt die Autorisierungs-E-Mail nicht an die Person, die das Zertifikat anfordert, oder den Administrator des Kontos.

    Die E‑Mail enthält Anweisungen, wie Sie die Validierung/Authentifizierung Ihrer Eigentumsrechte an der Domain abschließen können.

  • Beantworten Sie den Anruf zur Verifizierung/Authentifizierung (OV- und EV-Zertifikate).

    Informieren Sie die entsprechenden Mitarbeiter darüber, dass DigiCert eine geprüfte Telefonnummer anrufen wird, um die Validierung/Authentifizierung Ihres Unternehmens abzuschließen. Dieser Anruf erfolgt üblicherweise innerhalb von 24 Stunden, nachdem die Anforderung eines Ersatzzertifikats eingegangen ist.

  • Geben Sie den offiziell eingetragenen Namen Ihres Unternehmens an (OV- und EV-Zertifikate).

    Stellen Sie sicher, dass Sie für die Validierung/Authentifizierung Ihrer OV- und EV-Zertifikate die offizielle Firma angeben, unter der Ihr Unternehmen eingetragen ist. Wenn der angegebene Unternehmensname falsch ist, muss DigiCert später nachfragen. Beispielsweise ist MYCO nicht korrekt, wenn Ihr Unternehmen unter dem Namen My Company, Inc. eingetragen ist.

  • Erstellen Sie eine Online-Präsenz bei einem Drittanbieter (OV- und EV-Zertifikate).

    Wenn Sie ein OV- oder EV-Zertifikat beantragen, muss Ihr Unternehmen eine Online-Präsenz haben (Firma, Anschrift, Telefonnummer). Hierfür reicht es, Ihr Unternehmen in ein Unternehmensverzeichnis eines Drittanbieters wie Google My Business oder Dun & Bradstreet einzutragen.

3. Schritt: Ersetzen Sie Ihre SSL/TLS-Zertifikate von Symantec (und Tochter-Zertifizierungsstellen).

Die folgende Anleitung gibt Ihnen einen Überblick über die Schritte zur Ersetzung von Zertifikaten. Weitere Informationen finden Sie unter den am Ende angegebenen Referenzlinks.

  1. Melden Sie sich bei Ihrem bestehenden Konto bei Symantec, Thawte, GeoTrust oder RapidSSL an.
  2. Navigieren Sie zu den Zertifikaten, die Sie ersetzen möchten.
  3. Erzeugen Sie eine CSR (Certificate Signing Request, Signaturanforderung).
  4. Wählen Sie die Option „Zertifikat ersetzen/erneut ausstellen“ (replace/reissue certificate) aus.
  5. Schicken Sie Ihre Anforderung ab.
  6. Sobald DigiCert Ihre Domains und Unternehmen erneut validiert/authentifiziert hat (entsprechend den Anforderungen für den jeweiligen Zertifikatstyp), werden wir Ihre Ersatzzertifikate ausstellen.
  7. Installieren Sie Ihr SSL/TLS-Zertifikat.

Markenspezifische Anleitungen für die Ersetzung von Zertifikaten

Symantec™ Complete Website Security
Symantec Managed PKI for SSL
Symantec Trust Center
Symantec Trust Center Enterprise
Thawte Certificate Center (TCC)
Thawte Certificate Center Enterprise (TCCE)
GeoTrust Security Center (GSC)
GeoTrust Enterprise Security Center (GESC)
RapidSSL Security Center

Empfehlung für Zertifikate mit dreijähriger Laufzeit

Wir empfehlen, Zertifikate mit dreijähriger Laufzeit vor dem 1. März 2018 zu ersetzen, um ihre Gültigkeit voll ausschöpfen zu können. Ab dem 1. März 2018 werden Zertifizierungsstellen keine OV- und DV-Zertifikate mit dreijähriger Laufzeit mehr ausstellen. Außerdem dürfen alle nach dem 28. Februar 2018 ausgestellten OV- und DV-Ersatzzertifikate höchstens eine Gültigkeit von 825 Tagen haben, unabhängig davon, wie viel von der ursprünglichen Laufzeit verblieben ist. Siehe Announcement: Shortening Maximum Validity Periods for OV and DV Certificates (Ankündigung: Kürzere Höchstlaufzeiten für OV- und DV-Zertifikate).

Wir haben unsere Datenschutzrichtlinie aktualisiert, die Sie hier finden können.