Symantec-SSL und Chrome - Studie über TLS und CAs im Bereich der DE-Domains

TOC

Datenbasis: 10. März 2018

Im März und September entziehen die beiden Browser Chrome und Firefox den CAs aus dem Symantec-Ökosystem das Vertrauen und werden dementsprechend bei Webseiten, die diese Zertifikate benutzen, als unsicher darstellen und ggfs den Zugang verweigern. Weitere Details geben die Artikel von Google, Mozilla und SSLLabs in den Referenzen

Betroffene CAs:

  • Symantec
  • Thawte
  • VeriSign
  • Equifax
  • GeoTrust
  • RapidSSL
Sie verwalten viele Domains und möchten wissen, ob Sie Symantec-Zertifikate im Einsatz haben?

Senden Sie uns eine Email an die untenstehende Adresse, wir können jederzeit einen Massentest von Domains durchführen und Ihnen das Ergebnis zur Verfügung stellen.

sslcheck@zero.bs

Die Zertifikate werden mit Chrome Version 66 in 2 Stufen invalide, basierend auf dem Ausstellungs- und dem Ablaufdatum. Das Releasedatum für die BETA-Version von Chrome 66 ist der 15.03., final soll der Browser am 17.04. erscheinen.
Issue-Date Expire-Date Action
< 2016-06 < 13.06.2018 Das Zertifikat sollte vor dem 15. April erneuert werden
< 2016-06 > 13.09.2018 Das Zertifikat sollte vor dem 15. April erneuert werden
< 2017-12 > 13.09.2018 Das Zertifikat sollte vor dem 13. September erneuert werden

Es sind alle Zertifikate betroffen, die entweder von den CAs direkt ausgestellt wurden, oder bei denen die CAs in der Keychain auftauchen. Seit September 2017 fordern die betroffenen Unternehmen und CAs dazu auf, die Zertifikate zu erneuern.

Im Zuge dieses Ereignisses haben wir uns im Februar 2018 die TLS-Landschaft angesehen und Daten zu den Domains mit/ohne SSL sowie die generelle Verteilung der CAs in Bezug auf DE-Domains erhoben. Nebenbei haben wir natürlich auch überprüft, wer und wie viele Webseiten Zertifikate der betroffenen CAs ausgestellt haben und unverzüglich handeln sollten.

Als Datenset dienten uns die Top 25.000 DE-Domains aus den Alexa Top 1 Million.

Interessantes und Zusammenfassung

Auffällig ist, dass von den knapp über 20.000 untersuchten Zertifkaten nur 900 von deutschen CAs stammen, etwas unter 5%.

1/4 der Zetifikate stammen aus dem Ökosystem der Symantec-CAs und müssen bis September erneuert werden, 470 werden zum 17.4. verfallen, darunter so große Webseiten wie:

Ein paar SSL-Fails haben wir auch gefunden (man suche in der Tabelle nach "None"), bei denen zwar SSL-Zertifikate für www.example.com vorhanden ist, aber nicht für example.com (tagesschau.de)oder lustige Redirects von HTTPS zu HTTP (sueddeutsche.de )

Weitere Perlen werten wir gerade aus.

Des weiteren werden wir die gesamte Ergebnisliste hier zu einem späteren Zeitpunkt zur Verfügung stellen.

Übersicht über die Verteilung von SSL

SSL-Sites         : 20078
No-SSL-Sites      : 4187
Symantec
  Blocked by Sep  : 4505
  Block by   Mar  : 472

Top 25 CAs im DE-Domainraum

comodo_ca_limited              | 4784 
let's_encrypt                  | 4242 
geotrust_inc.                  | 2268 
globalsign_nv-sa               | 2023 
digicert_inc                   | 1690 
thawte_inc.                    | 1156 
symantec_corporation           | 688 
fiducia_&_gad_it               | 335 
ispgateway                     | 330 
starfield_technologies_inc.    | 283 
godaddy.com_inc.               | 183 
amazon                         | 169 
t-systems_international_gmbh   | 147 
parallels                      | 136 
verein_zur_foerderung_eines    | 134 
google_trust_services          | 82 
strato_ag                      | 74 
cpanel_inc.                    | 67 
odin                           | 57 
entrust_inc.                   | 56 
plesk                          | 49 
cloudflare_inc.                | 47 

Qualität der TLS-Implementierung

  • A - example.com und www.example.com haben das gleiche Zertifikat oder Wildcard, kein Symantec
  • B - example.com und www.example.com haben unterschiedliche Zertifikate, kein Wildcard, kein Symantec
  • C - example.com oder www.example.com haben Symantec-Zertifikate
  • D - example.com oder www.example.com haben abgelaufene Zertifikate
  • F - example.com oder www.example.com, kein SSL oder fehlerhaft implementiert (falscher Common-Name)

TBD

Domains mit Symantec - Zertifikaten
ablaufend ab März 2018 (472)

RankDomainCACommon NameErstelldatumAblaufdatum

Domains mit Symantec - Zertifikaten
ablaufend ab Sep 2018 (4505)

RankDomainCACommon NameErstelldatumAblaufdatum

Referenzen

  1. Google: Chrome’s Plan to Distrust Symantec Certificates
  2. SSLLabs: Google and Mozilla are Deprecating Existing Symantec Certificates
  3. Mozilla.dev-ML: Final Decision by Google on Symantec
  4. Edgehosting: Google to Distrust Symantec SSL Certificates