GlobalSign Blog

16 Aug 2017

Die Semantik des Symantec-Verkaufs

So geht es für Symantec PKI-Kunden und -Partner weiter

Als in der vergangenen Woche bekannt gegeben wurde, dass DigiCert die Sparte Website-Sicherheit und die damit verbundenen PKI-Lösungen von Symantec übernehmen würde, drängten sich sofort einige Fragen auf…

  • Wie kann die „kleine“ Zertifizierungsstelle (DigiCert) eine große CA übernehmen?
  • Wie sieht die langfristige Lebensfähigkeit des Unternehmens bei einer Investition von 1 Milliarde $ aus?
  • Kann DigiCert ein viel größeres Unternehmen nahezu reibungsverlustfrei in das eigene Unternehmen integrieren?
  • Wird DigiCert, trotz des sich immer noch abzeichnenden Misstrauens-Datums im Dezember, den Zeitplan von Google und Mozilla einhalten?
  • Wie wird DigiCert Domain Validated (DV) SSL-Zertifikate für Symantec-Kunden und -Partner ausstellen, obwohl DV-Zertifikate aktuell nicht Teil des Portfolios sind?
  • Wie wirkt sich die Neuausstellung und Neuüberprüfung von Symantec-Zertifikaten und Domains gemäß dem Google/Mozilla-Zeitplan auf die Infrastruktur und den Betrieb von DigiCert aus?
  • Google fragt: Angesichts der Übernahme von Symantecs PKI-Sparte durch DigiCert und der umfangreichen Beteiligung von Symantec an DigiCert - können Sie mir erklären, warum Sie glauben, dass die Wahl von DigiCert als Managed CA Partner die genannte Anforderung erfüllt, ein unabhängiges und nichtbeteiligtes Unternehmen zu sein?
  • Was steckt hinter der Strategie, dass Thoma Bravo (DigiCerts Hauptinvestor) die Übernahme leitet?

Dies sind nur einige der vielen Fragen, die sich mit Bekanntwerden der Übernahme aufgedrängt haben. Und ich bin mir sicher, dass viele von Ihnen als Symantec-Kunde und -Partner ähnliche Gedanken hatten. Während ich die Fakten der Übernahme detailliert darlege und was wir darüber hinaus wissen, werde ich versuchen diese Fragen zu beantworten.

Anatomie der Übernahme

Unter dem Druck von Google musste Symantec handeln. Das Unternehmen hatte nur begrenzte Entscheidungsmöglichkeiten: Eine davon war, eine Beziehung mit einer Managed CA vor Ablauf der Frist vom 1. Dezember 2017 zu etablieren. Eine andere Option war, die Sparte zu verkaufen. Wie wir jetzt alle wissen, hat Symantec sich entschieden zu verkaufen und das Google Misstrauens-Problem weiterzugeben. Dies sind die Fakten der Übernahme aus der Symantec/DigiCert Pressemitteilung:

  • DigiCert wird die Sparte Website-Sicherheit und die damit verbundenen PKI-Lösungen von Symantec übernehmen.
  • Im Rahmen der Vereinbarung erhält Symantec rund 950 Millionen $ Bar-Erlöse im Voraus und etwa 30% Anteile an der Stammaktie des DigiCert-Geschäfts am Ende der Transaktion.
  • Die Transaktion, die einstimmig vom Symantec Vorstand genehmigt wurde, wird voraussichtlich im dritten Quartal des Geschäftsjahres 2018 abgeschlossen sein, vorbehaltlich der Erfüllung der üblichen Abschlussbedingungen.
  • Thoma Bravo ist die Beteiligungsgesellschaft, die DigiCert seit 2015 unterstützt.

Die Fakten, die wir über Symantec, DigiCert und Thoma Bravo kennen:

Übernahmen dieser Größenordnung geschehen nicht ohne detaillierte Analyse und umfangreiche Planung. Thoma Bravo kann auf eine umfassende Erfolgsbilanz beim Kauf und Verkauf von Unternehmen verweisen. Sie sind darauf aus Gewinn zu machen. Ein Beispiel in dieser Branche ist Thoma Bravos Übernahme von Entrust und der anschließende Verkauf von Entrust an Datacard. Obwohl es nur Spekulationen meinerseits sind, kann ich nicht umhin, zu fragen, welche Strategie von Thoma Bravo dahinter liegt. Was als Nächstes kommt, kann an diesem Punkt jeder selbst entscheiden zu prognostizieren.

Was passiert jetzt mit Google und Mozilla?

Für Symantec-Zertifikate und die geplante, von Google und Mozilla festgeschriebene Vertrauensfrist ändert sich nichts. Mehr als eine Millionen Domains und SSL-Zertifikate von Symantec müssen von einer viel kleineren Zertifizierungsstelle neu überprüft werden, was potenziell zu massiven Störungen für Symantec SSL Kunden-Websites, Benutzer und Dienste führt.

1. Dezember 2017:

  • Laut Symantec wird die neue Managed Partner-Infrastruktur zu diesem Zeitpunkt für die vollständige Ausstellung bereit sein. Allen von Symantecs alter Infrastruktur nach diesem Zeitpunkt ausgestellten Zertifikate wird in einem zukünftigen Chrome-Update nicht mehr vertraut.
  • Ab diesem Datum können Website-Betreiber TLS-Serverzertifikate von der neuen Managed Partner-Infrastruktur erhalten, denen weiterhin nach Chrome 70 (~ 23. Oktober 2018) vertraut wird.
  • Der 1. Dezember 2017 schreibt keine Zertifikatänderungen vor, sondern stellt eine Chance für Website-Betreiber dar, sich TLS-Serverzertifikate zu besorgen, die nicht vom Chrome 70-Misstrauen gegenüber der alten Infrastruktur betroffen sind.

15. März 2018

  • Chrome 66 Beta-Version wird veröffentlicht.  Von Symantec vor dem 1. Juni 2016 ausgestellten Zertifikaten wird dann nicht mehr vertraut. Ab diesem Datum müssen Website-Betreiber entweder ein von Symantec ausgestelltes TLS-Serverzertifikat verwenden, das am oder nach dem 1. Juni 2016 ausgestellt wurde, oder ein aktuell gültiges Zertifikat, das von einer anderen vertrauenswürdigen CA ausgestellt wurde, um eine Unterbrechung des Geschäftsbetriebs zu verhindern.
  • Website-Betreiber, die ein Zertifikat von Symantecs ursprünglicher Infrastruktur nach dem 1. Juni 2016 erhalten haben, sind von Chrome 66 nicht betroffen, müssen sich aber bis zu den unten genannten Chrome 70-Terminen ein neues Zertifikat besorgen.

17. APRIL 2018 (Release von Chrome 66):

  • Chrome misstraut Zertifikaten von Symantec, die vor dem 1. Juni 2016 ausgestellt wurden.

13. SEPTEMBER 2018:

  • Chrome 70 Beta Release, widerruft Vertrauen in die alte Symantec-verankerte Infrastruktur. Dies wirkt sich nicht auf die von der/den neuen Managed CA(s) ausgestellten Zertifikate aus, die nach Angaben von Symantec zum 1. Dezember 2017 einsatzbereit sein wird.
  • Nur TLS-Serverzertifikate, die von der alten Infrastruktur von Symantec ausgestellt wurden, sind unabhängig vom Ausstellungsdatum von diesem Misstrauen betroffen.

23. OKTOBER 2018 (Release von Chrome 70):

  • Chrome wird ALLEN von Symantecs alter Infrastruktur ausgestellten Zertifikaten misstrauen, einschließlich der nach dem 1. Juni 2016 ausgestellten Zertifikate.

Wer ist betroffen?

Es sieht so aus, als könne vor allem Symantec den größten Nutzen aus der Transaktion ziehen. Sie werden eine mit Problemen belastete Sparte und eine veraltete CA-Plattform los, die schwer auf ihrem Ruf lastete. Damit holen sie fast die kompletten Kosten der ursprünglichen VeriSign-Übernahme wieder herein und profitierten nach der DigiCert Übernahme von einem kurzen Anstieg des Aktienkurses. Ein kluger geschäftlicher Schachzug von Symantec.

Vom Google/Mozilla-Browsermisstrauen-Problem betroffene Symantec-Kunden und –Partner müssen die Vertrauensfrist durchstehen, die Google und Mozilla gesetzt haben. Aktuell müssen sie sich auf einen neuen und viel kleineren Zertifikatanbieter, DigiCert, verlassen. Das Problem ist, dass bildlich gesprochen die Unterschriften auf dem Übernahmevertrag noch nicht trocken sind. Der Deal muss noch technisch abgeschlossen werden, Hunderte von Symantec-Mitarbeitern müssen offiziell an DigiCert angegliedert werden sowie Infrastruktur, Systeme und Prozesse integriert werden. Es muss viel in kurzer Zeit getan werden, um sicherzustellen, dass die Geschäftstätigkeiten der Symantec SSL-Zertifikat-Kunden und -Partner nicht unterbrochen werden.

Ich bin mir sicher, dass auch DigiCert-Bestandskunden und -partner Fragen haben. Kann DigiCert seine Bestandskunden und -partner auf dem gewohnten Niveau unterstützen? Der Zustrom von Symantec-Kunden, bestehend aus Tausenden von Unternehmenskunden mit Hunderttausenden Domains. Das könnte zu einer operativen Überlastung führen, wenn DigiCert versucht, alle bisher überprüften Symantec-Domains erneut zu überprüfen. Das wiederum kann verzögerte Reaktionen des Supports, längere Zertifikat-Überprüfungszeiten mit potenziellen Verzögerungen bei der Ausstellung und weniger Aufmerksamkeit als gewohnt, nach sich ziehen. Für Bestandskunden von DigiCert ändern sich gegebenenfalls Produkt- und Serviceangebote, wenn das Unternehmen die vier Symantec-Marken integriert.

Welche Möglichkeiten haben Sie aktuell?

Ich möchte Ihnen versichern, dass wir (GlobalSign) größten Respekt vor DigiCert haben. Obwohl wir Konkurrenten sind, arbeiten wir im CA/Browser Forum und im CA Security Council sehr eng zusammen um Best Practices, Standards und Vorschriften für die CA-Branche festzulegen.

Als Symantec-Kunden und -Partner haben Sie also im Wesentlichen zwei Möglichkeiten:

Sie vertrauen darauf, dass die Übernahme reibungslos funktioniert und DigiCert Ihre ureigenen Interessen vertritt oder Sie denken darüber nach, jetzt zu einem anderen CA-Anbieter zu wechseln.

An dieser Stelle rühre ich die Werbetrommel für GlobalSign. GlobalSign ist eine weltweit führende CA, die zur Unterstützung von Unternehmen entwickelt wurde. Unsere hoch skalierbare Managed PKI-Plattform automatisiert die Zertifikatausstellung für alle Endpunkte eines Unternehmens vollständig, verwaltet den gesamten Zertifikat-Lebenszyklus und lässt sich problemlos in Ihre IT- und Geschäftsprozesse integrieren.

Mit der Nutzung unserer Plattform erfüllen wir nicht nur Ihre SSL/TLS-Bedürfnisse, sondern bieten Ihnen auch die Möglichkeit, Kundenzertifikate anzubieten, um andere Anwendungsfälle zu bewältigen, wie Benutzer- und Geräteauthentifizierung, sichere E-Mails (S/MIME), Sicherheit für mobile Geräte und Document Signing für große Mengen - alles von einer einzigen Plattform aus. Und das ist noch nicht alles. Wir haben diese Plattform für IoT-Skalierbarkeit konzipiert. Keine andere CA kann mit dem Volumen und der Geschwindigkeit mithalten, die wir anbieten - über 3.000 Zertifikate pro Sekunde.

Testen Sie uns - Im Rahmen einer SSL-Wechselkampagne können Sie sofort loslegen. Zu den Vorteilen zählen unter anderen: Preisnachlässe beim Wechsel, mit Rabatten von bis zu 30%, Hinzufügen der verbleibenden Laufzeit auf Ihren vorhandenen SSL-Zertifikaten zu den neuen GlobalSign-Zertifikaten und 30 zusätzliche Tage Gültigkeit - bis zu 27 Monate maximal.

Sie denken vielleicht, dass es kompliziert ist, die CA zu wechseln. Wir machen es Ihnen leicht. Unsere spezialisierten Account Manager und Support-Teams führen Sie in vier simplen Schritten durch den Wechsel zu GlobalSign.

Wir sind hier, um Sie zu unterstützen. Kontaktieren Sie uns noch heute.

von Lila Kee

Artikel teilen

Jetzt Blog abonnieren