Google annoncerer foranstaltninger mod Symantec

24 marts 2017

Efter de seneste hændelser hos Symantec vedrørende udstedelse af SSL certifikater, planlægger Google at træffe foranstaltninger, der påvirker de certifikater, der er udstedt af Symantec. Desuden skal Google Chrome sørge for at EV-certifikater, der er udstedt af Symantec, ikke længere bliver vist som EV-certifikater og gyldighedsperioden af disse certifikater vil blive stærkt begrænset.

Hvad skete hos Symantec?

I de seneste måneder blev det kendt, at flere certifikater fejlagtigt blev udstedt af Symantec. Undersøgelser har vist, at overvågningen af partnere, der selfstændig kunne udstede certifikater med Symantecs rodcertifikater, har været utilstrækkelig i de senere år. Disse partnere har udstedet Symantec certifikater, der ikke var i overensstemmelse med de gældende krav. Symantec har ikke erkendt problemerne i tide, og har efter Googles mening, ikke reageret tilstrækkeligt på disse problemer og heller ikke offentliggjort problemet på eget initiativ.

Hvilke foranstaltninger agter Google at tage?

Google har annonceret en række foranstaltninger, de ønsker at gennemføre. I øjeblikket holder Google stadig kortene tæt ved kroppen, men de har til hensigt at:

  • Alle Symantec EV-certifikater (herunder mærker Thawte og GeoTrust) vises ikke mere som EV-certifikat i Chrome, men som DV (Domain Validering) certifikat. Certifikaterne er fortsat gyldige og forårsager ikke nogen fejlmeddelelse, men den grønne adresselinje med firmanavnet vises ikke mer.
  • Gyldigheden af nyudstedte certifikater fra Symantec, Thawte og GeoTrust er begrænset til en periode på ni måneder. Certifikater som gælder for en længere periode end ni måneder, vil ikke længere have tillid.
  • Med hver Chrome opdatering, bliver den maksimale gyldighedsperiode yderligere begrænset af allerede udstedte certifikater. Google ønsker at alle tidligere udstedte udstedte certifikater bliver valideret igen.

Hvad siger Symantec til det?

Symantec syns at Googles reaktion er overdreven og har reageret på en blog på Google annonceringen af planen.

Hvad er konsekvenserne?

På nuværende tidspunkt bruger omkring 30 procent af alle hjemmesider et SSL certifikater fra Symantec. Chrome er en af de mest almindeligt anvendte browsere, så Googles plan har enorme konsekvenser. Det er også sandsynligt, at andre browsere følger Google, hvis planen realiseres, og die kan lave lignende aktioner. Det vides endnu ikke, hvad disse handlinger bliver til.

Jeg har et certifikat fra Symantec, hvad skal man gøre?

Websites med Symantec certifikater har stadig tillid og giver ingen fejlmeddelelse. Googles foreslåede løsning er endnu ikke endelig, det kan være at planerne ændres. Google har annonceret en løsning, hvor kun den grønne adresselinje ikke vises, og først derefter ikke længere giver tillid til certifikaterne. På denne måde er der tid nok til webstedsadministratorer til at erstatte certifikaterne. I øvrigt er det midlertidige foranstaltninger, som kan annulleres, så snart Symantec er troværdig igen.

På forespørgsel vil Xolphin udskifte sine EV-certifikater fra Symantec, GeoTrust og Thawte til EV-certifikat fra Comodo med samme løbetid uden meromkostning.

Så snart flere oplysninger bliver tilgængelige, vil denne artikel blive opdateret. Hvis der er klarhed om de præcise trin i Googles plan, og vi kender konsekvenserne, vil vi aktivt informere vores kunder om dette.

Opdatering 10/04: Sidste onsdag meddelte  Ryan Sleevi, at bestyrelsen fra Google og Symantec havde et møde til trods for, at dette ikke er Googles politik. Ikke alt er diskuteret endnu, så det er planen at planlægge et folluw-up møde. En dato eller detaljer for mødet er endnu ikke offentliggjort.

Opdatering 27/04: Den 26. april foreslog Symantec en omfattende handlingsplan. Forslaget indeholder 11 punkter som et alternativ til de foranstaltninger, som Google har foreslået den 23. marts.

Fokus er på genautentificering af udstedte certifikater, periodisk ekstrakontrol, mere gennemsigtighed og reduktion af risici. En vigtig faktor er Symantecs erhvervskunder, såsom regeringer og finansielle selskaber. Symantec mener, at disse kunders interesser er utilstrækkelige tilset fra Google og samfundets synspunkt, og disse parter vil blive udsat for alvorlig skade som følge af Googles planer.

Hvilke foranstaltninger foreslår Symantec?

Af de 11 foreslåede tiltag er disse de vigtigste:

  • Alle Symantec-udstedte EV-certifikater vil blive kontrolleret af en ekstern part. Dette skal være afsluttet inden 31. august 2017. Dette bør forhindre fjernelse af EV-indikatoren i Google Chrome.
  • Alle aktive SSL-certifikater, der er blevet kontrolleret og udstedt af (tidligere) RA'er af Symantec, skal kontrolleres af en ekstern part. Dette skal også ske senest 31. august 2017.
  • I stedet for en årlig WebTrust-revision, som er standard, vil det ske kvartalsvis.
  • Ved 31. august 2017 indføres 3 måneders gyldige certifikater. Symantec anerkender fordelene ved kortvarige certifikater og ønsker at give sine kunder et valg.
  • Alle aktive certifikater med en gyldighed længere end 9 måneder vil blive godkendt igen med en domæneverifikationskontrol.
  • Den komplette CA-infrastruktur vil blive kontrolleret igen ved en "tredjeparts risikovurdering" senest den 31. oktober 2017.
  • Symantec lover at være mere gennemsigtig og forbedre den hastighed, som de kommenterer løbende problemer med.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.