web-rocket.by
SSL от Symantec потеряли доверие Google?

SSL от Symantec потеряли доверие Google?

Компания Google приняла решение прекратить доверие к SSL-сертификатам удостоверяющего центра Symantec, начиная с октября 2018 года.

Вообщем ничего не предвещало беды. Люди следовали требованиям Google, покупали SSL сертификаты и тут приехали. Получилось прямо скажем некрасиво. Лично столкнулся с такой ситуацией.
The SSL certificate used to load resources from названиесайта.by will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See g.co/chrome/symantecpkicerts for more information.

Symantec наказана за злоупотребления при выдаче 30 тыс. ssl сертификатов


Расследование Google продолжалось два месяца с января по март 2017 года. Чем дольше оно продолжалось, тем больше вопросов возникало к Symantec и вскрывалось нарушений в выдаче сертификатов. Ещё не стёрлась из памяти история 2015 года, когда Symantec самовольно выпустил сертификат на домены Google, Opera и ещё нескольких организаций.

Тогда Symantec объяснила свои действия следующим образом: «Небольшое количество тестовых сертификатов было некорректно выпущено для внутреннего пользования во время тестирования. Все из этих тестовых сертификатов и ключей были все время под нашим контролем и были незамедлительно отозваны, когда мы узнали о проблеме. Не было никакого воздействия на какие-либо домены и никакой опасности для сети Интернет». Сотрудники, нарушившие политики и допустившие данный инцидент, были уволены.

Прошло чуть больше года с момента прошлого инцидента — и сейчас Google снова вернулась к провинившемуся центру сертификации Symantec на предмет проверки его соответствия правилам Root Certificate Policy в браузере Chrome.

С самого начала стало понятно, что дела в компании не сильно улучшились. В начале расследования рассматривался первоначальный набор из 127 сертификатов, но в свете вскрывшихся нарушений его расширили до 30 000 штук, выданных за несколько лет.

Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги:
  • Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome от любых дальнейших некорректных выдач, которые могут возникнуть.
  • Постепенный отказ в доверии, охватывающий несколько выпусков Google Chrome, всем ранее выданным сертификатам Symantec, с требованием повторного подтверждения и замены.
  • Отказ в признании статуса EV (Extended Validation) для сертификатов, выданных Symantec, до тех пор, пока сообщество не будет уверено в правилах и практике Symantec, но не ранее чем через 1 год».

Затронуты сертификаты GeoTrust, Thawte и RapidSSL


В скором времени Google удалит из Chrome корневой сертификат Symantec. SSL-сертификаты образно похожи на гигантские деревья с бесчисленными ветвями, которые сходятся к корневому сертификату. После удаления этого сертификата все сертификаты, прикрепленные к этому корню, также перестанут работать.
Google удалит текущий корневой сертификат Symantec, но оставит возможность для внедрения нового корневого сертификата, который Symantec утвердит в будущем.
Кроме того, поскольку Symantec покупала другие центры сертификации, такие как GeoTrust, Thawte и RapidSSL, корневые сертификаты этих бывших компаний были добавлены в корневой каталог Symantec. Сертификаты, выпущенные в рамках этих трех центров сертификации, постигнет та же участь, что и родные сертификаты Symantec SSL. Аналогично, веб-мастерам и разработчикам придется запрашивать новые сертификаты.
Нужно понимать, что Symantec — один из крупнейших центров сертификации в интернете. Так, в январе 2015 года более 30% всех сертификатов в Сети были выданы именно этим центров. Правда, с тех пор произошли значительные изменения. Сейчас лидером является Comodo с 42,7%, а доля Symantec сократилась до 15,4%.
Ну не понимая до конца что будет дальше, лучше заказывать SSL от Comodo, ну или бесплатный SSL от Let's Encrypt.
* От автора — решил задать вопрос крупнейшему хостинг провайдеру — там вообще были не вкурсе. Сказали будут разбираться.. 
З.Ы Ответили 
Здравствуйте!
Сертификационный центр в данный момент занимается решением данной проблемы. Утверждает что переиздание сертификатов не потребуется.
Источники:
https://geektimes.ru/post/287272/
https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html
 

Комментарии ()

    Изложить свои мысли