Gilt für verwaltete Chrome-Browser und ChromeOS-Geräte.
Der Support für Symantec®-Zertifikate, die vor Dezember 2017 ausgestellt wurden, wird ab Chrome-Version 66 sowohl im Chrome-Browser als auch im Chrome OS schrittweise eingestellt. Ab Chrome-Version 70 werden jegliche Symantec-Zertifikate weder im Chrome-Browser noch in Chrome OS unterstützt. Diese Änderung betrifft alle Zertifikate, die von Symantec-Resellern oder unter Symantec-Marken ausgestellt wurden, wie GeoTrust®, Equifax®, Thawte®, RapidSSL® und VeriSign®.
Besucher von Websites, die ein nicht mehr vertrauenswürdiges Symantec-Zertifikat verwenden, sehen möglicherweise eine Fehlermeldung. Auch Websites, die Ressourcen (z. B. JavaScript- oder CSS-Stylesheets) verwenden, die von einem Host mit einem Symantec-Zertifikat bereitgestellt werden, funktionieren möglicherweise nicht mehr richtig.
Welche Zertifikate blockiert werden, ist von der Chrome-Version und dem Datum abhängig, an dem die Zertifikate erstellt wurden.
| Chrome-Version | Standardverhalten (blockieren) |
|---|---|
| Chrome 66 bis Chrome 69 | Von Symantec nach dem 01.12.2017 und vor dem 01.06.2016 ausgestellten Zertifikaten wird misstraut, aber alle zwischen diesen Daten ausgestellten Zertifikate sind zulässig. |
| Chrome 70 bis Chrome 73 | Allen von Symantec ausgestellten Zertifikaten wird misstraut. |
Migration planen
Überprüfen Sie Ihre Bereitstellung, um die beste Lösung für Ihr Unternehmen zu ermitteln. Klicken Sie unten, um eine entsprechende Anleitung abzurufen, je nachdem, wie und wo Sie Zertifikate verwenden.
Mein Unternehmen verwendet Symantec-ZertifikateEinige ältere Geräte, z. B. POS-Terminals, Telefonsysteme oder andere Formen integrierter Hardware, können nur Symantec-Zertifikaten vertrauen. Wenn das bei Ihnen der Fall ist, wenden Sie sich an die Gerätelieferanten und bitten Sie sie, andere Zertifizierungsstellen zu unterstützen.
Wenn Ihre Geräte nicht sofort aktualisiert werden können und sie dieselben Webserver wie Ihre Chrome-Nutzer verwenden, können Sie die temporäre Unterstützung für Symantec-Zertifikate aktivieren, bis Sie Ihre Geräte ersetzen oder aktualisieren. Wenn dies bei Ihnen der Fall ist, wenden Sie sich an den für Ihr Symantec-Konto zuständigen DigiCert-Bevollmächtigten, um einen Wechsel zu einer neuen Zertifizierungsstelle zu planen.
Wenn Ihr Unternehmen von einer Partnerwebsite mit Symantec-Zertifikaten abhängig ist, wenden Sie sich an den Administrator der Website und fragen Sie nach, wann die Zertifikate ersetzt werden. Die Zertifikate dieser Websites sollten gleich umgestellt werden, um Störungen in Ihrem Unternehmen zu vermeiden.
Wenn Ihr Partner seine Website nicht sofort aktualisieren kann, sollten Sie bis zur Aktualisierung die temporäre Unterstützung für Symantec-Zertifikate aktivieren.
Temporäre Unterstützung für Symantec-Zertifikate aktivieren
Wenn Sie mehr Zeit für den Wechsel von Symantec-Zertifikaten zu einer Alternative benötigen, können Sie eine Nutzerrichtlinie festlegen, mit der Sie ältere Symantec-Zertifikate vorübergehend unterstützen. Diese Richtlinie funktioniert bis zur Chrome-Version 73. Bei höheren Versionen funktioniert diese Richtlinie nicht mehr und alle Symantec-Zertifikate werden sowohl im Chrome-Browser als auch in Chrome OS blockiert.
Hinweise- Chrome OS unterstützt diese Richtlinie bis Version 73. Andere Betriebssysteme wie Windows, Linux oder macOS könnten jedoch die Unterstützung für Symantec-Zertifikate einstellen, bevor Chrome 73 veröffentlicht wird. Wenn Ihre Nutzer den Chrome-Browser auf einem Betriebssystem ausführen, das Symantec-Zertifikate nicht mehr unterstützt, hilft es nicht, die Richtlinie zu aktivieren. Die Zertifikate werden trotzdem als nicht vertrauenswürdig eingestuft.
- Diese Richtlinie ist nur eine vorübergehende Lösung, damit Sie mehr Zeit für die Suche nach einer dauerhaften Alternative haben. Planen Sie Ihre Migration so, dass Nutzer während der Übergangsphase auf wichtige Webseiten zugreifen können.
- Bevor Sie diese Richtlinie für Ihre gesamte Organisation aktivieren, sollten Sie überprüfen, ob Ihre Nutzer damit weiterhin auf die erforderlichen Websites zugreifen können.
- Mit dieser Richtlinie erhalten Nutzer auch dann keine Warnungen oder Fehlermeldungen, wenn Websites weiterhin ältere Zertifikate verwenden. Wenn Sie diese Richtlinie aktivieren, könnte es für Sie schwierig werden, Server und Websites zu erkennen, die ältere Zertifikate verwenden. Während der Übergangszeit sollten Sie regelmäßig mit deaktivierter Richtlinie Websites und Dienste testen, um festzustellen, welche aktualisiert werden müssen.
Das gilt, wenn Nutzer den Chrome-Browser auf einem Chrome OS-Gerät verwenden.
-
Melden Sie sich in der Google Admin-Konsole an.
Melden Sie sich mit Ihrem Administratorkonto an. Dieses Konto endet nicht auf @gmail.com.
-
Öffnen Sie in der Admin-Konsole das Dreistrich-Menü
Geräte
Chrome
Wenn Sie sich für die Chrome-Verwaltung über die Cloud registriert haben, klicken Sie auf das Dreistrich-Menü
Chrome-Browser
- Optional: So wenden Sie die Einstellungen auf eine Organisation an:
- Wählen Sie links die Organisation aus.
- Prüfen Sie, ob der verwaltete Chrome-Browser für diese Organisation aktiviert ist.
Weitere Informationen zur Organisationsstruktur
- Gehen Sie zur Seite Sicherheit.
- Klicken Sie auf Zertifikate von lokalen Trust-Anchors.
- Wählen Sie unter Legacy-PKI-Infrastruktur der Symantec Corporation eine der folgenden Optionen aus:
- Zulassen: Älteren Zertifikaten, die von Symantec ausgestellt wurden, soll vertraut werden.
- Blockieren: Ältere Zertifikate, die von Symantec ausgestellt wurden, sollen blockiert werden. Durch diese Einstellung wird das Standardverhalten von Chrome OS erzwungen. Welche Zertifikate blockiert werden, ist von der Chrome OS-Version und dem Datum abhängig, an dem die Zertifikate erstellt wurden. Weitere Informationen erhalten Sie in dieser Tabelle.
- Klicken Sie auf Speichern.
Die Einstellung wird normalerweise innerhalb weniger Minuten wirksam, es kann jedoch bis zu eine Stunde dauern, bis sie auf alle Nutzer angewendet wird.
Dies gilt, wenn Nutzer den Chrome-Browser unter Windows verwenden.
Gruppenrichtlinien verwenden
Bevor Sie beginnen: Chrome-Richtlinien einrichten (Windows)
Auf dem Windows-Computer- Öffnen Sie die Verwaltungskonsole für Gruppenrichtlinien.
- Gehen Sie zu Nutzerkonfiguration
Richtlinien
- Klicken Sie auf Der veralteten Symantec-PKI vertrauen.
- Wählen Sie Aktiviert aus.
- Klicken Sie auf OK.
RichtlinienDas gilt, wenn Nutzer den Chrome-Browser unter macOS verwenden.
Bevor Sie beginnen: Chrome-Richtlinien einrichten (macOS)
Fügen Sie in Ihrem Chrome-Konfigurationsprofil den folgenden Schlüssel hinzu oder aktualisieren Sie ihn. Stellen Sie die Änderung dann für Ihre Nutzer bereit.
-
Setzen Sie den Schlüssel "EnableSymantecLegacyInfrastructure" auf true:
<key>EnableSymantecLegacyInfrastructure</key>
<true/>
Dies gilt, wenn Nutzer den Chrome-Browser unter Linux verwenden.
Verwenden Sie Ihren bevorzugten JSON-Dateieditor:
- Gehen Sie zu "/etc/opt/chrome/policies/managed".
- Erstellen Sie eine neue JSON-Datei oder öffnen Sie eine vorhandene.
- Aktualisieren Sie die Datei mit folgendem Code:
{
"EnableSymantecLegacyInfrastructure": "true"
} - Stellen Sie das Update für Ihre Nutzer bereit.
Weitere Informationen
- Weitere Informationen darüber, warum Google die Unterstützung für bestimmte Symantec-Zertifikate einstellt, finden Sie in diesem englischsprachigen Blog-Artikel.
- Eine detaillierte Beschreibung der Richtlinie finden Sie unter EnableSymantecLegacyInfrastructure.
- Weitere Informationen zu Vorlagen für Chrome-Richtlinien finden Sie unter Chrome-Richtlinien auf Geräteebene für verwaltete PCs festlegen.