FAQ zum Vertrauensentzug bei Entrust-Zertifikaten

油

In der wurde die Entscheidung wie folgt begr端ndet:

" in den letzten Jahren lassen auf ein problematisches Verhaltensmuster bei Entrust hindeuten, das auf eine Missachtung der oben genannten Erwartungen schlie�en l辰sst und das Vertrauen in die Kompetenz, Zuverl辰ssigkeit und Integrit辰t des Unternehmens als 旦ffentliche Zertifizierungsstelle untergr辰bt."

und

"Zertifizierungsstellen (CAs) erm旦glichen verschl端sselte Verbindungen zwischen Browsern und Websites und spielen damit eine zentrale Rolle f端r das Vertrauen im Internet. Mit dieser enormen Verantwortung geht die Erwartung einher, dass sie angemessene, konsensbasierte Sicherheits- und Compliance-Standards einhalten, einschlie�lich derjenigen, die in den grundlegenden Anforderungen des CA/Browser油Forum f端r TLS-Verschl端sselung definiert sind.

In den letzten sechs Jahren haben wir ein Verhalten beobachtet, das sich in mehreren Compliance-Vers辰umnissen, nicht umgesetzten Verbesserungen und einem Mangel an greifbaren und messbaren Fortschritten bei der Reaktion auf bekannt gewordene Vorf辰lle manifestiert. Wenn wir die Summe dieser Faktoren gegen das inh辰rente Risiko abw辰gen, das jede 旦ffentliche Zertifizierungsstelle f端r das Internet-�kosystem darstellt, kommen wir zu dem Schluss, dass das bisherige Vertrauen von Google Chrome in Entrust nicht mehr gerechtfertigt ist."

Ab der stabilen Version von Google Chrome vom 11.油November, die fr端her oder sp辰ter von allen Chrome-Nutzern installiert wird, werden 旦ffentliche TLS-Zertifikate, die unter einem Root-Zertifikat von Entrust ausgestellt wurden und einen Signed Certificate Timestamp (SCT) nach dem 11.油November 2024 aufweisen, von Chrome als nicht vertrauensw端rdig eingestuft.

Alle TLS-Zertifikate von Entrust mit einem SCT bis einschlie�lich 11.油November 2024 gelten bis zum Ende ihrer Laufzeit als vertrauensw端rdig. Wenn diese Zertifikate jedoch ge辰ndert, neu verschl端sselt oder erneuert werden, wird ihnen das Vertrauen entzogen.油

Apple hat in einem aus dem Jahr 2024 bestimmte Zertifizierungsstellen und Root-Zertifikate aufgef端hrt, denen ab den dort genannten Stichtagen bei Neuausstellungen das Vertrauen entzogen wird. Nach dieser Liste werden viele Root-Zertifikate von Entrust ab dem 15.油November 2024 als nicht vertrauensw端rdig eingestuft. Betroffen sind unter anderem Zertifikate f端r TLS, S/MIME, Zeitstempel und BIMI (Brand Indicator for Message Identification).油

Bitte beachten Sie, dass diese Zertifikate trotzdem in der aufgef端hrt sind, da Zertifikate, die vor dem 15.油November 2024 unter diesen Roots ausgestellt wurden, weiterhin als vertrauensw端rdig gelten. Apple verfolgt einen anderen Ansatz und misstraut nur Zertifikaten, die nach diesem Stichtag ausgestellt wurden.油

Apple macht keine Angaben zu den betroffenen Produkten. Da jedoch alle Systeme den Apple-eigenen Root油Store verwenden m端ssen, ist davon auszugehen, dass alle PKI-Clients betroffen sind, also Safari, Apple Mail und andere Anwendungen, die unter iOS oder iPadOS laufen.

Mozilla hat bekannt gegeben, dass Zertifikate, die ab dem 1.油Dezember 2024 unter dem Root-Zertifikat von Entrust ausgestellt werden, als nicht vertrauensw端rdig eingestuft werden. Alle TLS-Zertifikate von Entrust mit einem SCT bis einschlie�lich 30.油November 2024 gelten bis zum Ende ihrer Laufzeit als vertrauensw端rdig. Wenn diese Zertifikate jedoch ab dem 1.油Dezember ge辰ndert, neu verschl端sselt oder erneuert werden, wird ihnen von Firefox das Vertrauen entzogen.油

Microsoft hat bisher keine Ma�nahmen angek端ndigt.

油

Wir empfehlen, so bald wie m旦glich mit der strategischen Planung zu beginnen und die vorhandenen Zertifikate zu inventarisieren. Es kann sein, dass Sie aufgrund des Vertrauensverlustes bereits jetzt St旦rungen verzeichnen. Sie sollten die Restlaufzeiten aller Zertifikate ermitteln, die Risikoprofile der damit verbundenen Dienste bewerten und die Umstellung im Detail planen.��Kontaktieren Sie uns noch heute, um die Migration in die Wege zu leiten.

Es gibt viele Programme, die Ihre Infrastruktur nach Zertifikaten durchsuchen k旦nnen. Als Entrust-Kunde finden Sie in Ihrer Konsole entsprechende Tools, die dazu in der Lage sind.

築孟TV油Kunden k旦nnen ihre Umgebung mit 築孟TV^速 Trust Lifecycle Manager (TLM) und 築孟TV CertCentral^速 durchsuchen und Entrust-Zertifikate identifizieren, die ersetzt werden m端ssen. Kontaktieren Sie uns, wenn Sie Hilfe bei dieser Suche ben旦tigen.

Wenn Sie sich einen Moment Zeit nehmen, k旦nnen Sie Ihre neuen Zertifikate schnell und einfach ausstellen lassen. Die Validierung Ihrer Domain dauert nur wenige Sekunden, die anschlie�ende Validierung Ihrer Organisation nur wenige Minuten. In den meisten F辰llen nimmt die Ausstellung neuer Zertifikate nur wenig Zeit in Anspruch.

Die Organisationsvalidierung (OV) ist zwei Jahre g端ltig. Nachdem Ihr Unternehmen von 築孟TV validiert wurde, m端ssen Sie nur noch die Domainvalidierung (DV) durchf端hren. Danach k旦nnen alle weiteren Zertifikatsantr辰ge noch schneller bearbeitet werden.

Nein, 築孟TV muss die Validierung selbst durchf端hren, bevor Ihre Entrust-Zertifikate mit Organisationsvalidierung (OV) oder erweiterter Validierung (EV) ersetzt werden k旦nnen.

Ja, bei einem Zertifikat mit Domainvalidierung wird nur die Domain 端berpr端ft, was nur wenige Sekunden dauert. Sie m端ssen nur einige einfache und schnelle Schritte ausf端hren.

Die Zertifizierungsstelle 築孟TV (CA) zeichnet sich als f端hrender Anbieter von Digital-Trust-晦旦壊顎稼乙艶稼 durch drei Prinzipien aus.

Erstens arbeiten wir sehr sorgf辰ltig und nutzen genau definierte Prozesse und Tools wie PKILint, die speziell zur Risikominderung entwickelt wurden.

Zweitens reagieren wir schnell, transparent und Hand in Hand mit dem CA/Browser油Forum auf Probleme und versuchen, diese umgehend zu l旦sen.

Drittens sind wir Mitglied in verschiedenen Normungsgremien, was bedeutet, dass wir Normen nicht nur einhalten, sondern auch im Sinne unserer Branche mitgestalten.

Wir sind der Ansicht, dass dieser Vorfall zu keinem Zeitpunkt einen Vertrauensentzug gerechtfertigt h辰tte, da wir das Problem sofort nach Bekanntwerden gemeldet und gemeinsam mit unseren Kunden und den gr旦�ten Browserherstellern daf端r gesorgt haben, dass die betroffenen Zertifikate innerhalb der vorgeschriebenen Fristen ersetzt wurden.

Bei der formulierte Google: ��Wenn Probleme auftreten, erwarten wir von jeder Zertifizierungsstelle, dass sie sich zu angemessenen und nachweisbaren �nderungen verpflichtet, die im Sinne einer kontinuierlichen Verbesserung umgesetzt werden.�� Diese �nderungen wurden von 築孟TV gezielt und zeitnah durchgef端hrt. Dabei haben wir eng mit der Chrome-Gruppe und anderen Browserherstellern zusammengearbeitet, um den Fehler mit m旦glichst geringen Auswirkungen f端r unsere Kunden zu beheben.

Das CA/B油Forum entscheidet nicht 端ber die Aufrechterhaltung oder den Entzug des Vertrauens in einzelne Zertifizierungsstellen. Diese Entscheidungen werden von den Anbietern zertifikatsbasierter Anwendungen getroffen, also vor allem von gro�en Browserherstellern wie Google Chrome.

Diese Themen werden im des Bugzilla-Forums diskutiert. Das Forum ist 旦ffentlich zug辰nglich. Die Aussagen der einzelnen Teilnehmer sind jedoch mit Vorsicht zu interpretieren, da es oft l辰nger dauert, bis sich aus unterschiedlichen Meinungen ein Konsens herausbildet.

Betroffen sind lediglich TLS-Zertifikate, die ab dem 12.油November 2024 unter Root-Zertifikaten von Entrust ausgestellt wurden.

Apple hat angek端ndigt, den Root-Zertifikaten von Entrust f端r TLS, S/MIME, Zeitstempel und BIMI (Brand Indicator for Message Identification, auch bekannt als Verified-Mark-Zertifikate) das Vertrauen zu entziehen. Die enth辰lt eine Liste der betroffenen Root-Zertifikate und Funktionen. 油

Wenn Sie auch andere Entrust-Produkte ersetzen m旦chten, bietet 築孟TV 晦旦壊顎稼乙艶稼 f端r das Management von S/MIME, Code- und Dokumentensignaturen, Common油Mark, Verified油Mark und anderen PKI-Zertifikaten.

Der 築孟TV Trust Lifecycle Manager wurde f端r gro�e Enterprise PKIs entwickelt und ist mit Ihrer bestehenden Architektur kompatibel. Mit dem Trust Lifecycle Manager k旦nnen Sie Ihre Umgebung nach TLS/SSL-Zertifikaten von 築孟TV, Entrust und anderen Ausstellern durchsuchen. Wir bieten Automatisierungsl旦sungen f端r 旦ffentliche und private PKIs. Der Trust Lifecycle Manager beinhaltet auch eine sichere Workforce-Management-Plattform, mit der Sie sehr einfach rollenbasierte Zugriffskontrollen implementieren k旦nnen.

築孟TV bietet finanzielle Anreize f端r bestimmte Kunden, die von diesem Ereignis betroffen sind. Bitte kontaktieren Sie uns f端r weitere Informationen.

Wenn Ihre Systeme betroffen sind, erhalten Nutzer der aktuellen Versionen von Chrome, Safari und Firefox Fehlermeldungen beim Besuch Ihrer Websites.油 Wenn Sie sich nicht sicher sind, welche Zertifikate von welchen Ausstellern installiert sind, sollten Sie eine Bestandsaufnahme Ihrer kryptografischen Assets durchf端hren. 築孟TV kann Sie dabei unterst端tzen.��Kontaktieren Sie uns f端r einen ma�geschneiderten Migrationsplan oder f端r weitere 雨稼岳艶姻壊岳端岳噛顎稼乙 bei der Nutzung unseres neuen Entrust Discovery Connector.

TLS-Zertifikate von Entrust, die vor dem 12.油November ausgestellt wurden, stellen kein unmittelbares Problem dar. Sie sollten jedoch rechtzeitig vor dem Ablaufdatum durch Zertifikate einer vertrauensw端rdigen Zertifizierungsstelle wie 築孟TV ersetzt werden.

In den 粥稼一端稼糸庄乙顎稼乙en von Chrome und Firefox werden lediglich die TLS-Zertifikate von Entrust als nicht vertrauensw端rdig eingestuft. Aber in der Meldung von Apple bezieht sich der Vertrauensentzug f端r die Root-Zertifikate von Entrust auf TLS, S/MIME, Zeitstempel und BIMI (Brand Indicator for Message Identification). Die enth辰lt eine Liste der betroffenen Root-Zertifikate und Funktionen.

Nur und haben bekanntgegeben, dass sie den Zertifikaten von Entrust nicht mehr vertrauen werden.

Die Entscheidungen der Root-Programme von Google und Mozilla betreffen 旦ffentliche TLS-Zertifikate, die unter Root-Zertifikaten von Entrust ausgestellt wurden und einen Signed Certificate Timestamp (SCT) nach dem 11.油November 2024 aufweisen. Andere 旦ffentliche Entrust-Zertifikate wie Code Signing- oder S/MIME-Zertifikate sind derzeit nicht betroffen.油

Diese Frage sollten Sie mit Ihrer Rechtsberatung kl辰ren.

W辰hlen Sie einen Anbieter, der Erfahrung mit Systemmigrationen hat, die aufgrund eines Vertrauensentzugs durchgef端hrt werden m端ssen. Der erste Schritt ist in der Regel eine Bestandsaufnahme aller kryptografischen Assets. Danach kann entschieden werden, was sofort umgesetzt werden muss und welche weiteren �nderungen und Verbesserungen in Zukunft sinnvoll sind.

Ja. Wenn Sie ab dem 12.油November ein bestehendes TLS-Zertifikat von Entrust 辰ndern, neu verschl端sseln oder erneuern, wird das daraus resultierende (neue) Zertifikat als nicht vertrauensw端rdig eingestuft.油

築孟TV bietet preisgekr旦nten Support, globale Pr辰senz und ma�geschneiderte 晦旦壊顎稼乙艶稼, die die Ausstellung und Verwaltung von Zertifikaten sowie das Risikomanagement w辰hrend des gesamten Lebenszyklus erleichtern. 築孟TV ist vor allem f端r seine Kundenorientierung und seinen partnerschaftlichen Ansatz bekannt. Die Zertifizierungsstelle Let��s油Encrypt erf端llt zwar einen wichtigen Zweck, bietet aber nur bestimmte Zertifikate, keine Managementkonsole, keinen technischen Live-Support und keine n端tzlichen Zusatzdienste wie das Management des gesamten Zertifikatslebenszyklus an. Ihre 築孟TV油Zertifikate k旦nnen Sie mit CertCentral verwalten, die Verwaltung von Zertifikaten anderer Aussteller 端bernimmt unsere L旦sung Trust Lifecycle Manager.

Ja, aber es gibt mindestens einen bekannten Workaround. Hier ein Auszug aus der 粥稼一端稼糸庄乙顎稼乙 von Chrome:

Ab Chrome油127 k旦nnen Einschr辰nkungen im Chrome Root Store wie die in diesem Blogpost beschriebene Ablehnung von Entrust-Zertifikaten umgangen werden. Dazu muss das Zertifikat der entsprechenden Stammzertifizierungsstelle als auf demselben lokalen System installiert werden, auf dem Chrome ausgef端hrt wird (z.油B. als vertrauensw端rdiges Stammzertifikat im Microsoft Certificate Store).

Chrome f端r Android verwendet den Chrome Root Store und ist daher vom Vertrauensentzug betroffen. Chrome f端r iOS muss wie alle iOS-Apps den Apple Root Store verwenden und ist daher nicht zwangsl辰ufig betroffen. Allerdings hat Chrome bereits in der Vergangenheit Root-Zertifikate 端ber Eintr辰ge im Programmcode blockiert. Der Vertrauensentzug gilt ab dem 12.油November und f端r diesen Tag wurde auch die n辰chste Version von Chrome angek端ndigt. Daher ist davon auszugehen, dass der Code dieser Version ebenfalls Root-Sperren enth辰lt.

Sollte Entrust in Zukunft das Vertrauen von Apple entzogen werden, wird dies Auswirkungen auf alle iOS- und MacOS-Ger辰te haben.

Richtig. Diese �nderungen betreffen derzeit nur die Web油PKI. Staatliche Zertifizierungsstellen sind nicht direkt betroffen.

Ja, der 築孟TV Trust Lifecycle Manager kann die Zertifikate in Ihrem Entrust-Konto inventarisieren und bietet eine einfache M旦glichkeit, neue Zertifikate bei 築孟TV zu beantragen. Dar端ber hinaus kann die Installation und Erneuerung von Zertifikaten f端r viele Dienste und Systeme automatisiert werden.

築孟TV

PKI- und zertifikatsbezogene Risiken an einem Ort managen

PKI- und zertifikatsbezogene Risiken an einem Ort managen

Die smarte Art, Zertifikatslebenszyklen zu managen

Kontinuierliches Signieren f端r CI/CD油und DevOps

Sicheres und flexibles Signieren油�� weltweit

Vertrauensw端rdig油�� von der Programmierung bis zum Einsatz

Ger辰tesicherheit ohne Kompromisse

Schnellere und sichere Anwendungsentwicklung

Scannen. Signieren. Liefern.

Wie tragen Sie der Komplexit辰t der Softwarelieferkette Rechnung?

Finden Sie die richtigen TLS/SSL-Zertifikate zum Schutz Ihrer Website.

eIDAS-konforme Sicherheitsl旦sungen f端r Transaktionen und Website-Dokumente

Einblicke

Ressourcen

Bericht des Ponemon-Instituts

MEHR LERNEN >

WEBINAR

Eind辰mmung von Identit辰ts-, Ger辰te- und Zertifikatswucherung

Partnerschaften Zur Schaffung Von Digitalem Vertrauen in Der Ganzen Welt MIT:

Partnerschaft Durch Vertrauen

Partnerschaft durch vertrauen

Support

Tools

Ressourcen

KONTAKT ZU UNSEREM SUPPORT

CHOOSE YOUR LANGUAGE

W辰hlen Sie Ihre Sprache

FAQ Zum Vertrauensentzug bei Entrust-Zertifikaten

Unternehmen

Mein Konto

Ressourcen

晦旦壊顎稼乙艶稼