Google og Symantec nærmer sig en løsning

7 juni 2017

I marts annoncerede Google, at det ville gribe ind over for Symantec, som påvirker Symantecs SSL certifikater i Google Chrome. Den 19 Maj udkom et fælles forslag til at mindske risikoen for brugere af Symantec certifikater og til at opretholde sikkerheden af Google Chrome-brugere.

Siden slutningen af maj, har der fundet talrige drøftelser sted om forslagene. Hele diskussionen kan læses i Google Forumet. Google's tidligere forslag indeholdt mange begrænsninger, som ikke længere have tiltro til eksisterende certifikater udstedt af Symantec mærker og sidestille Symantec EV certifikater til domæne-validerede certifikater - uden firmanavn og grøn adresselinje.

Hvad er blevet revideret i det nye forslag?

Det nye forslag indeholder visse reviderede foranstaltninger. Symantec skal arbejde med et andet nøglecenter til at holde styr på validering og udstedelsesprocessen. I mellemtiden vil Symantec har tid til at revidere retningslinjerne uden at Symantec kunder og brugere ville opleve forstyrrelser.

Hovedpunkter:

  • Forslaget gælder for alle Symantec mærker, herunder GeoTrust og Thawte;
  • Fra den 8. August 2017, vil alle nye Symantec certifikater udstedes af en "administreret certificeringsmyndighed". Det vides endnu ikke hvilket nøglecenter dette bliver.
  • Fra den 1. februar 2018 håndteres hele valideringsprocessen, ud over certifikatudstedelse,  af denne partner CA.
  • For at sikre korrekt browser support, bliver Symantec certifikater er cross-signeret af Symantec.

EV certifikater bevarer deres grønne adresselinje

Ved at bruge et administreret CA bliver Symantecs certifikater ikke begrænset eller begrænset i forhold til fjernelse af EV funktioner, såsom den grønne adresselinje, eller reduceret certifikat gyldighedsperiode. Bortset fra dette, vær opmærksom på følgende punkter:
  • Eksisterende certifikater udstedt før 1 juni 2016 skal udskiftes. Baseret på Chrome version 62 (planlagt til August 2017), er disse SSL certifikater forældede og har ikke længere tillid.
  • Eksisterende certifikater udstedt efter 1 juni 2016 skal ikke udskiftes, da de er stadig gyldige. Derudover er deres varighed ikke begrænset.

Hvad gør Symantec ?

Symantec vil forny og revidere sine PKI systemer og procedurer til at udstede SSL certifikater. Revisioner og rapporter bliver offentligt tilgængelige. Nye rodcertifikater bruges. Partner ("styret") CA vil bibeholde udstedelsesprocessen, indtil de nye Symantec rodcertifikater har tillid.

Med andre ord, er tiden ikke kun afhængig af Symantecs fremskridt i at sætte tingene tilbage på sporet, men også af den tid, det tager indtil de nye  rodcertifikater er inkluderet i browserne.

Hvad sker der nu?

Kortsigtede svar forventes fra Symantec og Google. Det er sandsynligt, at begge organisationer vil forsøge at foretage nogle ændringer i dette forslag, selv om intet vides om partner CA som Symantec skal samarbejde med.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.