Tak gaśnie zaufanie: Chrome 66 to koniec certyfikatów SSL Symanteca

Wystawione przez Symanteca certyfikaty SSL niedługo przestanąbyć cokolwiek warte. Wraz z planowaną na wiosnę 2018 roku premierąChrome 66, najpopularniejsza przeglądarka na świecie po prostuprzestanie im ufać. W ten oto sposób jeden z największych urzędówcertyfikacji (CA), jeszcze w kwietniu zeszłego roku mający 26% tegorynku, został skreślony przez Google – i trudno w tym wypadkudecyzję tę kwestionować.

Google nie działa w tym wypadku pochopnie. Prowadzone od początkutego roku śledztwo deweloperów Chrome wykazało,że Symantec, prowadząc działalność pod takimi markami jakThawte, VeriSign, Equifax, GeoTrust i RapidSSL, wystawił ponad 30tys. certyfikatów z naruszeniem standardów regulującychwiarygodność wystawców, wytyczonych przez branżę w ramachCA/Browser Forum.

W wielu wypadkach chodziło o wystawienie certyfikatów na domenębez zgody jej właściciela – co otwiera drogę do atakówphishingowych, podszywania się pod zaufane serwisy. Zdecydowano sięwięc na obniżenie przez przynajmniej rok wiarygodnościwystawianych przez Symanteca certyfikatów i wyłączenie dla nichrozszerzonej walidacji (EV). Co gorsze, nie był to pierwszy incydenttego typu. W 2015 roku Symantec został przyłapany na wystawieniukilkuset nieautoryzowanychcertyfikatów, w tym dla domen Google, przeglądarki Opera idomen, które nigdy wcześniej nie były rejestrowane.

Konsekwencje obniżenia wiarygodności – nie wyświetlania napasku adresu stosownego komunikatu bezpieczeństwa – nie spodobałysię Symantecowi. Urząd certyfikacji zarzuciłdeweloperom Chrome *wyolbrzymianie i błąd,twierdząc że błędnie wydano jedynie 127 wcześniejrozpoznanych certyfikatów.Swoich klientów uspokoił zaś, stwierdzając, że certyfikaty sąodrzucane tylko *przezChrome. No cóż, dobrze, że nie przez lidera rynku, InternetExplorera.

Takie zagrywki nie pomogłySymantecowi. Pod koniec lipca twórcy Chrome porozumieli się zespołecznością, przyjmując planograniczenia, a finalnie zaniechania zaufania do całejdotychczasowej infrastruktury Symanteca. Plan miał dać dość czasuna przejście na nową, niezależnie zarządzaną infrastrukturępartnerów, podczas gdy Symantec zmodernizowałby swojąinfrastrukturę, dostosowując ją do standardów branży.

Symantec ostatecznie zgodził sięna propozycję, wybrał firmę DigiCert do prowadzenia tejniezależnej infrastruktury partnerów, stwierdził też, że chcesprzedać cały swój biznes związany z certyfikatami firmieDigiCert, zamiast samodzielnie budować nową, zaufanąinfrastrukturę. Teraz Google przedstawiłodaty, według których cały proces będzie przebiegał.

I tak, wraz z wydaniem Chrome 66(prawdopodobnie 17 kwietnia 2018 roku), przeglądarka ta przestanieufać wszystkim wydanym przez Symanteca certyfikatom wydanym przed 1czerwca 2016 roku.

Do 1 grudnia 2017 roku Symantecprzeniesie swoje operacje związane z certyfikatami na infrastrukturęDigiCert. Chrome nie będzie ufało certyfikatom wystawionym po tejdacie ze starej infrastruktury Symanteca.

Wraz z wydaniem Chrome 70,planowanym na 23 października 2018 roku, przeglądarka ta całkowicieprzestanie ufać starej infrastrukturze Symanteca i wszelkimwystawionym przez nią certyfikatom. Dotknie to wszystkichcertyfikatów, dla których Symantec był rootem, za wyjątkiemniewielkiej grupy tych niezależnych, podrzędnych urzędówcertyfikacji, które przeszły audyt.

Dla właścicieli stroninternetowych, którzy korzystali z certyfikatów SSL Symanteca lubpodrzędnych CA wydanych przed 1 czerwca 2016 roku, nie ma więcsensu przedłużać ich z użyciem starej infrastruktury – one itak staną się bezużyteczne za 13 miesięcy. Lepiej skorzystać zcertyfikatów od urzędów, które Chrome darzy zaufaniem.

Przypominamy, że podstawowy,darmowy certyfikat SSL dla naszej domeny można uzyskać dziękiprogramowi Let’s Encrypt,którego sponsorami są między innymi Google, Mozilla, Facebook,Cisco, OVH, Akamai i Electronic Frontier Foundation.