Google: tidslinje for mistillid til alle Symantec-certifikater i Chrome

Google offentliggjorde for nylig en tidslinje på Google Security-bloggen, der fremhæver tidslinjen for at droppe support til Symantec-udstedte certifikater i Chrome.

Virksomheden planlægger at droppe fuld support i Chrome 70, men vil mistillige certifikater, der blev udstedt før 1. juni 2016 allerede den 15. marts 2018 (Chrome 66).

Kernen i problemet omkring Symantec-certifikater - virksomheden opererer under mærkenavne som VeriSign, Thawte, Equifac, RapidSSL eller GeoTrust - er, at Symantec 'betroede flere organisationer muligheden for at udstede certifikater uden passende eller nødvendig tilsyn' ifølge til Google.

symantec certificate google chrome firefox

Symantec var opmærksom på disse sikkerhedsmangler, og hændelser i fortiden viste lige hvor slemt det var. I 2015 for eksempel blev der oprettet certifikater, der dækker fem organisationer, herunder Google og Opera, uden de involverede organisationers viden.

Symantec kom til en aftale med DigiCert, hvor DigiCert vil erhverve Symantecs websikkerheds- og PKI-løsningsforretning.

Google planlægger at fjerne tillid fra alle Symantec-udstedte certifikater i Chrome i det kommende år. Virksomheden offentliggjorde en tidslinje, der fremhæver de vigtigste datoer for processen.

  • 24. oktober 2017 - Chrome 62 Stabil - Chrome fremhæver, hvis et certifikat for et websted bliver mistillidt, når Chrome 66 frigives.
  • 1. december 2017 - DigiCerts nye infrastruktur vil være 'i stand til fuld udstedelse'. Certifikater udstedt af Symantecs gamle infrastruktur fra dette tidspunkt fremad ophører med at arbejde i fremtidige opdateringer. Dette påvirker ikke certifikater udstedt af DigiCert.
  • 15. marts 2018 - Chrome 66 Beta - Ethvert Symantec-udstedt certifikat inden 1. juni 2016 er mistillid. Websteder vil ikke indlæse men smide et certifikatadvarsel i stedet.
  • 13. september 2018 - Chrome 70 Beta - Tillid til Symantecs gamle infrastruktur falder helt ned i Google Chrome. Dette påvirker ikke DigiCert-udstedte certifikater, men blokerer ethvert websted, der bruger gamle certifikater.

Chrome-brugere kan ikke rigtig gøre noget ved dette, da webstedsoperatører er nødt til at skifte til et certifikat, som Google stadig har tillid til allerede den 14. marts 2018. Den eneste mulighed, som brugere af browseren har, er at lade webstedoperatører vide om certifikatproblemer skulle de ikke være opmærksomme på dette.

Mozilla matcher datoerne foreslået af Google ifølge til et indlæg af Gervase Markham i Mozilla Devs sikkerhedspolitiske gruppe.

Webmastere, der kører websteder med Symantec-certifikater, skal tilføje nye certifikater til deres webejendomme inden fristen for at sikre fortsat adgang til disse egenskaber. En mulighed, som webmastere har, er at bruge Lader kryptere der tilbyder gratis og automatiserede certifikater.