Symantec genudstedelse

På grund af flere hændelser med udstedelsen af Symantec certifikater i de seneste år har Google og Mozilla mistet tilliden til Symantecs certifikatudstedelse. I mellemtiden er der opnået enighed: SSL divisionen vil blive overtaget af DigiCert, hvilket betyder, at Symantec certifikater vil forblive bekendt med Google Chrome og Mozilla Firefox. Fra 1. december 2017 kan du gratis genudstede certifikaterne fra Symantec, GeoTrust og Thawte, så de forbliver bekendt med disse browsere.

Udvirkning på certifikater i Google Chrome

Den 11. september 2017 offentliggjorde Google sin endelige plan for at standse support for Symantec certifikater. Chrome er den mest anvendte browser på verdensplan, og det forventes, at andre browsere i tillæg til Mozilla Firefox også vil vedtage denne politik.

Symantec-, GeoTrust- og Thawte certifikater udstedt under den gamle VeriSign rod vil afhængigt af udstedelsesdatoen ikke længere have tillid i Google Chrome. Det har ingen indflydelse på certifikater fra Comodo eller GlobalSign. Certifikater fra Symantec, GeoTrust og Thawte har brug for en gratis genudgivelse for at være fortrolig med browserne:

  • Certifikater udstedt inden 1. juni 2016 vil ikke længere have tillid fra Chrome version 66 pr. 15. marts 2018. Disse certifikater kræver en genudstedelse mellem 1. december 2017 og 15. marts 2018.
  • Certifikater udstedt mellem 1. juni 2016 og 1. december 2017 vil ikke længere have tillid fra Chrome version 70 pr. 13. september 2018. Disse certifikater kræver en genudstedelse mellem 1. december 2017 og 13. september 2018.

Symantec Google timeline

DigiCert udsteder Symantec certifikater fra 1. december 2017. Symantec certifikater, der udstedes via DigiCert's nye infrastruktur fra nu af, understøttes fuldt ud af fremtidige Chrome versioner.

Udvirkning på certifikater i Mozilla Firefox

Fordi Firefox ophæver support på et senere tidspunkt, tager vi Chromes tidslinje som reference. Tidslinjen, som Mozilla har annonceret, er som følger:

  • Fra januar 2018 (Firefox version 58) giver Developer delen advarsel for Symantec certifikater udstedt før 1. juni 2016.
  • Fra mai 2018 (Firefox version 60) vise websteder en usikker forbindelse ved brug af et Symantec certifikat udstedt før 1. juni 2016.
  • Fra oktober 2018 (Firefox version 63) er alle Symantec certifikater udstedt fra den gamle PKI-infrastruktur (før 1. december 2017) ikke længere betroede.

Udvekslingsprocedure

Fra december 1, 2017, kan du begynde at genudstede certifikater:

  • I kontrolpanelet kan du finde de certifikater, der skal genudstedes fra begyndelsen af december. Den senest mulige genudgivelses dato vises også. Derudover vil vi sende dig alle oplysninger via e-mail, hvis du har certifikater, der kræver en genudstedelse.
  • For hvert certifikat, der skal erstattes, skal du vælge genudgivelses optionen i kontrolpanelet. Det er tilrådeligt at oprette en ny CSR for dette. Et alternativ er at genbruge den gamle CSR, som du kan finde tilbage i kontrolpanelet.

Gennem denne procedure vil du modtage den samme type og brand certifikat med samme start og slutdato, underskrevet kun af det nye digicert rodcertifikat. Et alternativ til dette er at skifte til et andet mærke. Ved at kontakte os kan du også skifte dine certifikater gratis til lignende certifikater fra Comodo.

Bemærk venligst: Vi henviser dig til alle gyldige certifikater udstedt før december 1, 2017. Her kan der være certifikater, der allerede er udløbet før den pågældende bytte dato. For disse certifikater er en fornyelse tilstrækkelig, startende 90 dage før udløbsdatoen. Nogle udviklingsmiljøer vil advare tidligere end de nævnte frister. De fleste besøgende på webstedet vil dog ikke blive generet af dette, hvis du ønsker at undgå dette, kan du vælge at gøre en gratis genudstedelse. Hvis du har certifikater, der udløber før ombytnings datoen, er dette tydeligt angivet ved certifikatet i kontrolpanelet.

Validering

For nogle certifikater kræves der en ny validering – derfor skal du ikke vente til sidste øjeblik med genudstedelsen. Millioner af certifikater skal udskiftes på verdensplan, og derfor skal der også tages hensyn til lidt længere leveringstider.

  • For certifikater med domæne validering udføres validering igen via e-mail.
  • For certifikater med organisations og udvidet validering revurderes virksomhedens data, hvis denne kontrol blev gennemført for mere end 27 måneder siden på genudgivelsestidspunktet.

Installation

Efter genudgivelsen modtager du en e-mail med et erstatningscertifikat og CA-certifikater til installation på din webserver. De nye rodcertifikater findes i Download sektionen.

For at få den bredest mulige browserunderstøttelse er de nye rodcertifikater kryds signeret med den gamle Symantec root.

Problem mellem Google og Symantec

I begyndelsen af 2017 blev det kendt, at flere certifikater blev uretfærdigt udstedt hos Symantec. Efter undersøgelsen viste det sig, at tilsynet med partnere, der fik lov til selvstændig at udstede certifikater under Symantecs rodcertifikater, ikke har været tilstrækkelige de seneste år. Disse partnere har udstedt Symantec certifikater på en måde, der ikke opfyldte de gældende krav. Symantec har ikke identificeret manglerne i tiden og reagerede heller ikke tilstrækkeligt nok ifølge Google og meddelte ikke disse problemer på eget initiativ. Som svar meddelte Google, at det ville ophøre med support til Symantec, GeoTrust og Thawte certifikater i Google Chrome.

I august 2017 blev det annonceret, at den amerikanske certifikatmyndighed DigiCert overtager hele PKI divisionen fra Symantec. Ved at gøre brug af denne infrastruktur er Googles krav til sikrere certifikatadministration opfyldt, uden at Symantec skal udskifte sin forældede PKI infrastruktur.

DigiCert en Symantec

Nyttige oplysninger

Relaterede artikler

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.