Hetzner - DokuWiki

Digicert-Reissues

Allgemeine Informationen zur Neuaustellung Ihrer Symantec-, Thawte- und RapidSSL-Zertifikate unter DigiCert (FAQs)

Inhaltsverzeichnis

Warum ist eine Neuausstellung für mein Zertifikat nötig?

Wir wurden von unserem Zertifikats-Anbieter DigiCert (Symantec, Thawte, RapidSSL) informiert, dass ab dem 15.02.2018 für alle neu beantragten oder neu ausgestellten SSL-Zertifikate eine maximale Laufzeit von 27 Monaten festgelegt wird. Dieses Vorgehen wurde von den Zertifizierungsstellen (CAs) und Browseranbietern festgelegt. Nur SSL-Zertifikate, welche vor dem 15.02.2018 beantragt oder neu ausgestellt wurden, erhalten noch eine Laufzeit mit maximal 36 Monaten.

Des Weiteren hat das Unternehmen Google angekündigt, dass ab dem 15.03.2018 SSL-Zertifikate von Symantec; Thawte und RapidSSL, welche vor dem 01.06.2016 ausgestellt wurden, nicht mehr im Browser anerkannt werden.

Zuletzt wurde angekündigt, dass ab dem 13.09.2018 keine Symantec, Thawte und RapidSSL Zertifikate mehr anerkannt werden, welche vor dem 01.12.2017 ausgestellt wurden.

Wenn Ihr Zertifikat in eine dieser Kategorien fällt, informieren wir Sie in der Regel zeitnah über die erforderliche Schritte zur Neuausstellung.

Wie ist der Ablauf der Neuausstellungen?

Die Neuausstellungen werden stapelweise vor den jeweiligen Terminen angekündigt und durchgeführt. Es ist daher leider möglich, dass verschiedene Ihrer Zertifikate in unterschiedliche Kategorien fallen und Sie dadurch mehrfach informiert werden. Um einen reibungslosen Ablauf zu gewährleisten und die geplanten Neuausstellungsprozesse nicht zu blockieren, bitten wir Sie von eigenmächtigen Reissueaufträgen (soweit nicht zwingend erforderlich) abzusehen.

Welche Schritte sind für eine Neuausstellung nötig?

Die Neuausstellungen werden von uns gesammelt beauftragt und - soweit möglich - automatisch durchgeführt. Für die Neuausstellung ist in der Regel eine (Re-)Validierung/Authentifizierung Ihres Zertifikats nötig. Je nach Authentifizierung kann dies vollautomatisch über unsere Server erfolgen. In den meisten Fällen erhalten Sie jedoch eine sogenannte "ApproveMail" an die bei der Bestellung des Zertifikats hinterlegte (Approve-)E-Mailadresse. In dieser Mail finden Sie einen Link zur Bestätigung des Neuausstellungsauftrages. Bitte sorgen Sie für eine rasche Bearbeitung der Bestätigungsmail, damit Ihnen das neue SSL-Zertifikat übermittelt werden kann.

Sollten weitere Schritte oder Dokumente zur Validierung nötig sein, werden wir bzw. DigiCert Sie darüber gesondert informieren. Bitte sorgen Sie in diesem Fall ebenfalls für eine rasche Bearbeitung.

Was passiert, wenn ich die jeweilige Frist verpasse?

Durch die Neuausstellung werden die bestehenden Zertifikats Keys nicht ungültig (revoked). Ein Revoke wird erst zu einem späteren Zeitpunkt von DigiCert durchgeführt. Somit gibt es bei Versäumnis vorerst keine negativen Einfluss auf das bestehende Zertifikat. Beachten Sie bitte jedoch, dass nach dem 15.03. bzw. 13.09. eine gesicherte Verbindung mit neuen Browserversionen nicht mehr möglich sein wird.

Was ist nach einer erfolgreichen Neuausstellung zu unternehmen?

Als Robot-Kunde erhalten Sie nach Fertigstellung Ihres neuen Zertifikats den Zertifikatskey, samt benötigter Zwischenzertifikate, per E-Mail. Die Zertifikatsdaten müssen auf allen Servern, welche das Zertifikat verwenden ausgetauscht werden. Durch einen Neustart des Servers ist das neue Zertifikat aktiv. Die privaten Schlüssel erhalten dabei im Normalfall Ihre Gültigkeit.

Kunden der konsoleH müssen in der Regel keine weiteren Schritte vornehmen. Die aktualisierten Zertifikatsdaten werden automatisch im SSL-Manager der konsoleH hinterlegt und auf den bei uns installierten SSL-Accounts installiert. Sollten Sie das Zertifikat jedoch auch auf externen Servern einsetzen, laden Sie es nach Fertigstellung bitte erneut aus dem "SSL Manager" herunter und nehmen Sie die Installation manuell vor.


Seit der Neuausstellung treten auf einigen (älteren) Endgeräten Zertifikatsfehler auf. Was kann ich tun?

Auf älteren Clients fehlen unter Umständen die aktuellen Root-Zertifikate von Digicert, wodurch die Zertifikatskette unvollständig ist bzw. nicht validiert werden kann. Bitte prüfen Sie in diesem Fall ob ggf. eine neue Softwareversion Ihres Clients verfügbar ist.

In einigen Fällen kann es auch zu Inkompatibilitäten mit aktuellen SHA256-Rootzertikaten kommen. Dies ist meist ebenfalls clientspezifisch und hat nichts mit der Serverkonfiguration zu tun. Sollten diese Fälle vermehrt auftreten, können wir Ihnen gerne ein Neuausstellung Ihres Zertifikats auf eine alternative Zertifikatskette mit SHA1-Rootzertifikat anbieten. Senden Sie uns hierzu bitte eine gesonderte Supportanfrage aus Ihrer jeweiligen Weboberfläche. Bitte sehen Sie auch hier von eigenmächtigen Reissueaufträgen ab, da diese Aufträge ebenfalls gesondert bearbeitet werden müssen.



© 2018. Hetzner Online GmbH. Alle Rechte vorbehalten.