Google: aikataulu kaikkien Symantec-varmenteiden luottamatta jättämiseen Chromessa

Google julkaisi äskettäin Google Security -blogissa aikajanan, joka korostaa Chroman Symantecin myöntämien sertifikaattien tuen lakkauttamisen aikataulua.

Yhtiö aikoo luopua täydestä tuesta Chrome 70: lle, mutta luottaa ennen 1. kesäkuuta 2016 annettuihin varmenteisiin jo 15. maaliskuuta 2018 (Chrome 66).

Symantecin sertifikaateihin liittyvä kysymys - yritys toimii tuotemerkeillä, kuten VeriSign, Thawte, Equifac, RapidSSL tai GeoTrust - on, että Symantec 'antoi useille organisaatioille mahdollisuuden antaa todistuksia ilman asianmukaista tai tarvittavaa valvontaa'. Googlelle.

symantec certificate google chrome firefox

Symantec oli tietoinen näistä tietoturvapuuteista, ja aiemmat tapahtumat osoittivat, kuinka paha se oli. Vuonna 2015 esimerkiksi luotiin sertifikaatit, jotka kattoivat viisi organisaatiota, mukaan lukien Google ja Opera, ilman osallistuvien organisaatioiden tietämystä.

Symantec tuli DigiCertin kanssa tehtyyn sopimukseen, jonka mukaan DigiCert ostaa Symantecin verkkosivustojen tietoturva- ja PKI-ratkaisuliiketoiminnan.

Google aikoo poistaa luottamuksen kaikista Symantecin myöntämistä Chromen sertifikaateista tulevana vuonna. Yhtiö julkaisi aikajanan, joka tuo esiin prosessin tärkeimmät päivämäärät.

  • 24. lokakuuta 2017 - Chrome 62 vakaa - Chrome korostaa, voidaanko sivuston varmennetta epäillä, kun Chrome 66 julkaistaan.
  • 1. joulukuuta 2017 - DigiCertin uusi infrastruktuuri on ”kykenevä kokonaan liikkeeseen laskemaan”. Symantecin vanhan infrastruktuurin myöhemmin myöntämät sertifikaatit lakkaavat toimimasta tulevissa päivityksissä. Tämä ei vaikuta DigiCertin myöntämiin varmenteisiin.
  • 15. maaliskuuta 2018 - Chrome 66 Beta - Symantecin ennen 1. kesäkuuta 2016 myöntämää varmennetta ei luoteta. Sivustoja ei ladata, vaan heittää sen sijaan varmennusvaroituksen.
  • 13. syyskuuta 2018 - Chrome 70 Beta - Symantecin vanhan infrastruktuurin luottamus katoaa kokonaan Google Chromesta. Tämä ei vaikuta DigiCertin myöntämiin varmenteisiin, mutta estää sivustot, jotka käyttävät vanhoja varmenteita.

Chromen käyttäjät eivät voi oikeasti tehdä mitään, koska verkkosivustojen ylläpitäjien on vaihdettava varmenteeseen, johon Google edelleen luottaa, jo selaimen käyttäjillä on vain se mahdollisuus, että se ilmoittaa verkkosivustojen ylläpitäjille varmenneista pitäisikö heidän olla tietoinen tästä.

Mozilla vastaa Googlen ehdottamia päivämääriä mukaan Gervase Markhamin viestiin Mozilla Dev Security Policy -ryhmässä.

Verkkovastaavien, jotka ylläpitävät sivustoja Symantec-varmenteilla, on lisättävä uusia varmenteita verkko-ominaisuuksiinsa ennen määräaikaa varmistaakseen jatkuvan pääsyn kyseisiin ominaisuuksiin. Yksi verkkovastaavien mahdollisuus on käyttää Antaa salata joka tarjoaa ilmaisia ​​ja automatisoituja varmenteita.