Google перестанет доверять сертификатам от Symantec


Новые версии Firefox и Chrome 70 больше не доверяют SSL/TLS-сертификатам Symantec

Как указывает новостной ресурс securitylab, компания Mozilla выпустила первую версию своего браузера, не принимающую TLS-сертификаты от удостоверяющего центра Symantec. Когда интернет-пользователь попадает на какую-либо страницу с сертификатом от УЦ Symantec, новая версия Firefox отображает уведомление безопасности.

Новая политика была реализована в Firefox Nightly 63 и перейдет в раннюю бета-версию браузера в начале следующего месяца. Согласно графику выхода новых версий, релиз окончательной сборки состоится 23 октября текущего года.

Mozilla последовала примеру Google, исключившей сертификаты Symantec из списка доверенных в Chrome 70 Canary – «ночной» сборке браузера для разработчиков, вышедшей 20 июля. Теперь при попадании пользователя на страницу с сертификатом Symantec браузер отображает сообщение о небезопасном подключении. Нововведение будет реализовано в бета-версии Chrome, которая выйдет 20 сентября, а также в стабильной сборке, запланированной к выходу на 16 октября.

Mozilla и Google решили исключить цифровые сертификаты от удостоверяющих центров Symantec из списка доверенных по результатам расследования допущенных ими нарушений. Браузеры перестанут доверять сертификатам, выпущенным всеми УЦ Symantec: GeoTrust, Thawte и RapidSSL. Администраторы сайтов, использующих сертификаты от любого из этих УЦ, должны заменить их.

На данный момент сертификатами Symantec пользуются многие крупные компании, бренды и организации, в том числе Sony PlayStation Store, сервис online-банкинга Морского федерального Кредитного союза США, эстонский банк LHV Pank, канадская телекоммуникационная компания Freedom, Первый национальный банк ЮАР, японский сайт Intel и пр.

Google прекратит поддержку SSL-сертификатов от Symantec

Symantec придется полностью изменить процесс выдачи SSL-сертификатов, если компания планирует остаться на рынке.

Начиная с октября 2020, Google полностью прекратит поддержку SSL-сертификатов, выданных Symantec. Это окончательное решение инженеров Google и Mozilla, основаное на результатах расследования деятельности центра сертификации (CA) компании Symantec. В прошлом году исследователи обнаружили, что Symantec нарушила правила, согласованные форумом CA/B Forum, регулирующего процедуры выдачи SSL-сертификатов.

В марте 2020 года инженеры Google и Mozilla обнаружили, что Symantec нарушила правила выдачи 127 SSL-сертификатов. Google инициировала расследование по данному факту обнаружения. Однако по мере продвижения расследования первоначальная оценка выросла до колоссальной цифры, превышающей 30 000 сертификатов. Количество шокировало экспертов, поскольку Symantec является одним из крупнейших центров сертификации на рынке. Первым, кто проявил недовольство процедурами выдачи SSL-сертификатов была Google, которая объявила о намерении постепенно удалить поддержку сертификатов Symantec в Chrome. Mozilla, Microsoft или Apple никогда не говорили о проблеме Symantec, но они также были недовольны CA и позволили Google возглавить расследование, которое длилось несколько месяцев.

Symantec отрицала любые нарушения, назвав результаты расследования «преувеличенными и вводящими в заблуждение», но в конце концов, согласилась вступить в переговоры. В ходе переговоров стороны согласились на некоторые уступки и разделили весь процесс изменения выдачи сертификатов на 3 фазы.

Первая фаза — 1 декабря 2020 г. Symantec будет сотрудничать с другим СА, который будет выдавать SSL-сертификаты от имени Symantec. Symantec станет, с технической точки зрения, подчиненным центром сертификации — Subordinate Certificate Authority (SubCA).

Этот шаг имеет решающее значение для выживания Symantec в качестве центра сертификации, поскольку позволит компании выдавать новые SSL-сертификаты в ближайшем будущем, сохраняя при этом своих клиентов, однако весь процесс выдачи будет контролировать компания-партнер.

Вторая фаза начнется, с выходом браузера Chrome 66 (предположительно, в апреле 2020 года). С этой версии, Chrome будет отображать ошибки для SSL- сертификатов Symantec, выпущенных до 1 июня 2020 года.

Третья фаза наступит с выпуском Chrome 70 (ориентировочно, октябрь 2020 года). Chrome перестанет доверять всем сайтам с SSL-сертификатами от Symantec, выпущенными до 1 декабря 2020 года.

Владельцам веб-сайтов и другим разработчикам, использующим SSL-сертификаты от Symantec внутри своего приложения придется обратиться к Symantec за новым SSL-сертификатом или вообще связаться с другим поставщиком услуг.

Подписывайтесь на каналы «SecurityLab» в Telegram и Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

SSL-сертификаты от Symantec (GeoTrust, Thawte, VeriSign) будут небезопасными в Google Chrome

Проблема затронет не всех

Статья актуальна только для сертификатов, которые выпустили до 1 декабря 2020 года. Чтобы её исправить, нужно перевыпустить сертификат.


С 1 декабря 2020 бренды RapidSSL, GeoTrust, Thawte и Symantec перешли в собственность компании DigiCert. Компания исправила проблему, все новые сертификаты полностью надёжны.

В марте 2020 года компания Google вместе с Mozilla обнаружила SSL-сертификаты, которые ошибочно выпустил Центр Сертификации Symantec. В связи с этим инженеры Google провели расследование SSL-сертификатов от Symantec и обнаружили более 30000 проблемных SSL-сертификатов. Эта цифра шокировала экспертов и интернет-сообщество. Компания Google попросила от представителей Symantec официальных объяснений.

Топ-пост этого месяца:  Все о тенденциях веб-дизайна

Symantec — один из самых крупных Центров Сертификации. Ему принадлежат такие известные Центры Сертификации, как GeoTrust, Thawte и VeriSign. В связи с масштабом проблемы к расследованию Google подключились и другие крупные компании: Mozilla, Microsoft, Apple и другие.

Представители Symantec оказались в центре интернет-скандала. Компания сначала все отрицала и назвала результаты расследования от Google «преувеличенными и вводящими в заблуждение».

В Google не стали долго ждать объяснений и начали действовать. Компания решила отказаться от поддержки всех Symantec SSL-сертификатов в новых версиях популярного браузера Google Chrome. Таким образом, сертификаты от Symantec, а также GeoTrust, Thawte, VeriSign стали бы недействительными в один момент, и сотни тысяч клиентов обратились бы с вопросами к Symantec.

В такой ситуации умалчивать о проблеме стало уже невозможно. Symantec признал вину и пошел на переговоры с Google. В результате стороны пришли к соглашению и представили следующий план действий:

  1. С 1 декабря 2020 года Центр Сертификации Symantec начнет сотрудничество с другим Центром Сертификации: DigiCert. DigiCert начнет выпускать сертификаты от имени Symantec. С технической точки зрения Центра Сертификации Symantec (GeoTrust, Thawte, VeriSign) больше не будет. Он станет Подчиненным Центром Сертификации — Subordinate Certificate Authority (SubCA). Кроме этого, уже стало известно, что компания Symantec продала часть своего бизнеса компании DigiCert, а именно подразделение Symantec Website Security и сопутствующие PKI-решения. Это та часть бизнеса, которая раньше отвечала за выпуск SSL-сертификатов Symantec (GeoTrust, Thawte, VeriSign).
  2. Предварительно 15 марта 2020 года выйдет бета-версия браузера Google Chrome 66. Окончательный релиз 66 версии браузера ожидается 17 апреля 2020 года. Однако уже с бета-версии Google Chrome перестанет поддерживать все Symantec SSL-сертификаты, которые были выпущены до 1 июня 2020 года. Браузер будет помечать такие сертификаты как «небезопасные» в адресной строке.
  3. 13 сентября 2020 года должна выйти бета-версия браузера Google Chrome 70. Официальный релиз должен состояться 23 октября 2020 года. Но уже бета-версия браузера перестанет поддерживать все SSL-сертификаты от Symantec (GeoTrust, Thawte, VeriSign), которые были выпущены до 1 декабря 2020 года.

Под санкции попадают:

  • SSL-сертификаты, которые были выпущены до 1 июня 2020 года и которые будут активны после 15 марта 2020 года (дата выхода бета-версии браузера Google Chrome 66).
  • SSL-сертификаты, которые были выпущены до 1 декабря 2020 года и будут активны после 13 сентября 2020 года (дата выхода бета-версии браузера Google Chrome 70).

Чтобы обезопасить свой сайт от потенциальных проблем, связанных с этой ситуацией, мы рекомендуем 2 варианта решения вопроса:

Решение — перевыпустить сертификат

Это можно сделать бесплатно в нашей панели управления SSL Panel. Нужно зайти в неё и нажать на кнопку «Перевыпустить». Если возникнут трудности, наша служба поддержки поможет вам успешно перевыпустить SSL-сертификат.

Если не уверены или не знаете дату выпуска и срок действия сертификата, а также попадает ли он под санкции — свяжитесь с поддержкой и мы дадим вам точный ответ.

Google применит санкции для сертификатов группы Symantec

Разработчики Google объявили, что Chrome прекратит поддержку SSL-сертификатов Symantec. Недоверенными станут сертификаты GeoTrust, Thawte и RapidSSL — они связаны цепочкой доверия с корневым сертификатом Symantec.

Почему сертификаты утратили доверие?


В 2015 году сертификационный центр по ошибке выпустил SSL-сертификаты без запроса владельцев. Среди ошибочных были даже сертификаты на сервисы Google — Google.com, Gmail.com и Gstatic.com. Ситуация повторилась в январе 2020 года. Сертификационный центр выпустил 108 ошибочных SSL-сертификатов самой надежной степени проверки — EV.

Также специалисты Google выявили, что весной четыре сторонние компании выпускали SSL-сертификаты от имени Symantec. Сертификационный центр не смог в срок предоставить отчеты о произошедших инцидентах и потерял доверие Google и Mozilla. После этого Symantec продали подразделение Website Security конкуренту Digicert за $950 млн.

Когда браузер перестанет доверять сертификатам?

Разработчики Chrome сформировали «дорожную карту» по отказу в доверии к сертификатам Symantec:

24 октября 2020 — выходит стабильная версия Chrome 62. В этой версии вы сможете через инструменты разработчика узнать попадает ли ваш сертификат под санкции Google. Для посетителей сайтов сертификат будет отмечен, как надежный.

1 декабря 2020 — DigiCert начнет выпускать сертификаты Symantec на базе новой инфраструктуры. Утрата доверия к Symantec не коснется SSL-сертификатов, выпущенных после 1 декабря 2020 г.

15 марта 2020 — Релиз бета-версии Chrome 66. С этой версии теряют доверие сертификаты Symantec, GeoTrust, Thawte и RapidSSL, выпущенные до 1 июня 2020 . Для пользователей отображается ошибка о ненадежном соединении.

13 сентября 2020 — Релиз бета-версии Chrome 70. В этой версии все сертификаты выпущенные до 1 декабря 2020 г. отображаются, как недоверенные.

23 октября 2020 — Стабильная версия Chrome 70.

Что делать владельцам сертификатов?

Если ваш сертификат будет недоверенным в Chrome, перевыпустите его бесплатно через личный кабинет после 1 декабря 2020 года. С этого числа сертификаты будут выпускаться на новой инфраструктуре Digicert.

Не перевыпуйскайте сертификат сейчас — Google может изменить сроки или вовсе отменить санкции к Symantec. Если перевыпустить сертификат сейчас, то по текущим планам Google, вам придется перевыпускать его повторно до 13 сентября 2020 года.

Топ-пост этого месяца:  Баннерная реклама — где можно купить или продать место под баннер на сайте

Мы следим за новостями и обязательно уведомим вас, если что-то изменится. Если у вас остались вопросы, напишите в поддержку. Будем рады помочь вам 😉

Google перестанет доверять SSL от Symantec, GeoTrust, Thawte и RapidSSL. Что делать владельцам сайтов?

В конце июля 2020 года Google объявила об утрате доверия к SSL-сертификатам группы Symantec. Начиная с марта 2020 года пользователи браузера Google Chrome при переходе на сайты с сертификатами от Symantec, GeoTrust, Thawte и RapidSSL будут видеть предупреждение о незащищенном соединении.

Чтобы избежать негативных последствий, владельцам SSL-сертификатов от группы Symantec надо предпринять ряд мер. Мы разобрались в ситуации и описали алгоритм действий в статье для CMS Magazine.

Google обвиняет Symantec в выдаче 30 000 нелегитимных сертификатов

Xakep #246. Учиться, учиться, учиться!

Проблемы с сертификатами начались у компании Symantec еще в 2015 году. Тогда центр сертификации Thawte, принадлежащий компании, выпустил фальшивые SSL-сертификаты с расширенной проверкой для доменов gmail.com, google.com и www.google.com. Оказалось, виной всему был человеческий фактор, по итогам разбирательства Symantec уволила ряд сотрудников, которые случайно допустили использование поддельных, предназначенных исключительно для внутреннего тестирования, сертификатов.

Но неприятности продолжились: в начале 2020 года представитель SSLMate Эндрю Айр (Andrew Ayer) уличил Symantec в выдаче нелегитимных сертификатов, в частности для доменов example.com, а также разных вариаций test.com (test1.com, test2.com и так далее). Тогда в Symantec заявили, что сертификаты были ошибочно выпущены партнерами компании. Привилегии проштрафившихся сторон были понижены, а все проблемные сертификаты отозваны.


Новые обвинения в адрес Symantec теперь звучат со стороны компании Google. Инженер команды Google Chrome Райан Сливи (Ryan Sleevi) сообщил, что в ближайшее время Chrome перестанет доверять 30 000 сертификатов, выпущенным Symantec.

Сливи поясняет, что его команда с 19 января 2020 года занималась расследованием ошибок, допущенных Symantec Corporation в ходе валидации сертификатов. Расследование разработчиков началось со 127 конкретных инцидентов, однако чем глубже исследователи копали, тем больше обнаруживали проблем. Вскоре стало понятно, что проблемными можно считать как минимум 30 000 сертификатов, выданных за последние несколько лет. Сливи подчеркивает, что у Symantec наблюдаются большие проблемы с валидацией доменов, то есть зачастую должные проверки не проводились, и кому выдавались сертификаты не совсем ясно. Хуже того, с аудитом собственных логов у Symantec тоже наблюдаются трудности. Так, по словами Сливи, сотрудники Symantec не смогли самостоятельно обнаружить случаи выдачи сертификатов неуполномоченным сторонам, и даже не пытались улучшить процессы валидации и проверок, явно далекие от совершенства.

Инженер Google пишет, что Symantec предоставляла доступ к своей инфраструктуре как минимум четырем сторонним организациям, которые могли выдавать сертификаты, однако должного контроля и надзора за их работой компания не осуществляла. Из-за этого специалисты Symantec не сумели в отведенные сроки ответить на запросы Google и предоставить информацию, касающуюся инцидентов, заинтересовавших исследователей.

Теперь в Google планируют отозвать Extended Validation статус для всех сертификатов Symantec. Бан будет наложен как минимум сроком на один год. Также постепенно будут сокращаться сроки действия для уже выданных сертификатов Symantec: если в Chrome 59 срок действия сертификатов будет ограничен 33 месяцами, то в Chrome 62 это значение составит уже 15 месяцев, а в Chrome 64 и вовсе сократится до 9 месяцев. Кроме того все новые сертификаты Symantec предлагается изначально ограничивать девятимесячным сроком годности.

Представители Symantec уже отреагировали на эти обвинения. В блоге компании появилась запись, в которой обвинения Google названы «преувеличенными и недостоверными». Представители компании сообщают, что речь может идти лишь о 127 выданных по ошибке сертификатах, но никак не о 30 000. Пост Сливи они называют «безответственным», а действия Google «неожиданными», заявляя, что компания работает в соответствии со всеми стандартами, установленными индустрией, и доверять ее SSL/TLS-сертификатам можно. В Symantec подчеркивают, что ошибочно выданные сертификаты не несли пользователям никакого вреда. Компания сообщает, что открыта для диалога и надеется разрешить данную ситуацию, совместно с представителями Google.

Google: сайты должны полностью отказаться от сертификатов, выданных Symantec

Дата публикации: 2020-09-14

От автора: с весны следующего года Chrome перестанет считать «валидными» сайты, сертифицированные Symantec. Нововведение вступит в силу, начиная с 66 версии браузера.

Представители Google сообщили о постепенной «пессимизации» доверия к TLS-сертификатам, выданных Symantec. Начиная с 66 версии Chrome, все сайты с сертификатами от этого центра будут отображаться в браузере как потенциально опасные.

Отмечается, что нововведение коснется только TLS, выданных до 1 июня прошлого года. Исключением являются сертификаты от небольшого числа независимых центров, которые аудировал Symantec.

Предупреждения в адресной строке браузера начнут отображаться уже в 62 редакции Chrome. Она выйдет в следующем месяце.

Полностью поддержка TLS от Symantec «нивелируется» с выходом стабильной семидесятой версии браузера. Планируется, что она будет запущена осенью 2020 г.

JavaScript. Быстрый старт

Изучите основы JavaScript на практическом примере по созданию веб-приложения

Согласно требованиям Google, которые компания выдвинула Symantec, все недочеты в процедуре сертификации должны быть устранены центром до декабря текущего года. Поэтому сертификаты, которые выдадут после этой даты, также будут валидными.

Редакция: Команда webformyself.

Хотите узнать, что необходимо для создания сайта?

Посмотрите видео и узнайте пошаговый план по созданию сайта с нуля!

Топ-пост этого месяца:  Деньги из интернета

Chrome через 2 месяца перестанет доверять сертификатам Symantec

Компания Google дает владельцам сайтов еще почти 2 месяца на то, чтобы они поменяли свои сертификаты, выданные Symantec. Если за указанный период они этого не сделают, то их ресурсы при открытии пользователем в браузере Chrome будут помечаться как небезопасные.


По предварительным данным, до сих пор старые сертификаты еще используют десятки тысяч сайтов.

Google в очередной раз напоминает, что в середине апреля поддержка сертификатов Symantec прекратится. Если до тех пор останутся сайты, использующие такие удостоверяющие документы, то рядом с их адресом в адресной строке будет показываться красный значок, указывающий на незащищенное соединение. Более того, каждый раз при открытии сайта, который использует сертификаты Symantec, пользователи будут видеть на экране уведомление от браузера Google Chrome о том, что посещение такого сайта может иметь негативные последствия вроде перехвата данных.

В Google отмечают, что браузер перестанет доверять еще трем типам сертификатов. К ним относится GeoTrust, RapidSSL и Thawte. Все они тоже имеют прямое отношение к Symantec, поэтому их надежность можно поставить под сомнение.

Чтобы у владельцев сайтов в дальнейшем не возникло никаких проблем, необходимо проверить, кто является владельцем корневого сертификата. Если это Symantec, то сертификаты обязательно нужно заменить.

Реализация изменений касательно поддержки сертификатов Symantec начнется с выходом версии Chrome 66. Предположительно, официальный релиз выйдет 17-го апреля. В более поздних версиях требования к используемым сертификатам будут постепенно ужесточаться.

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Комментарии

Комментариев пока нет

Чтобы оставить комментарий — зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.

Google Chrome перестанет доверять сертификатам Symantec в марте 2020 года

Команда Google Chrome предупредила, что в марте 2020 года, после выхода бета-версии Chrome 66, Google перестанет доверять сертификатам, выданным до 1 июня 2020 года. Компания опубликовала план по прекращению доверия к сертификатам, выданным удостоверяющим центром Symantec.

Браузер начнет показывать предупреждения для пользователей, начиная с версии 62. Она будет выпущена в октябре 2020 года. Ранее стало известно, что Symantec передаёт свою инфраструктуру DigiCert, и она должна быть введена в эксплуатацию к 1 декабря 2020 года. Согласно требованиям Google, DigiCert запустит и инфраструктуру PKI, и инфраструктуру Managed Partner для контроля над продажами сертификатов.

После этой даты все сертификаты, выпущенные старой инфраструктурой Symantec, перестанут работать в обновленном Chrome.

После запуска Chrome 70 в сентябре 2020 года браузер прекратит доверие ко всем сертификатам,связанным с Symantec. Исключение составит только небольшое число сертификатов, выданных независимыми и аудируемыми подчинёнными УЦ, данные о которых были ранее переданы Google.

Google прекратит поддержку SSL-сертификатов от Symantec

Начиная с октября 2020, Google полностью прекратит поддержку SSL-сертификатов, выданных Symantec. Это окончательное решение инженеров Google и Mozilla, основаное на результатах расследования деятельности центра сертификации (CA) компании Symantec. В прошлом году исследователи обнаружили, что Symantec нарушила правила, согласованные форумом CA/B Forum, регулирующего процедуры выдачи SSL-сертификатов.

В марте 2020 года инженеры Google и Mozilla обнаружили, что Symantec нарушила правила выдачи 127 SSL-сертификатов. Google инициировала расследование по данному факту наружения. Однако по мере продвижения расследования первоначальная оценка выросла до колоссальной цифры, превышающей 30 000 сертификатов. Количество шокировало экспертов, поскольку Symantec является одним из крупнейших центров сертификации на рынке. Первым, кто проявил недовольство процедурами выдачи SSL-сертификатов была Google, которая объявила о намерении постепенно удалить поддержку сертификатов Symantec в Chrome. Mozilla, Microsoft или Apple никогда не говорили о проблеме Symantec, но они также были недовольны CA и позволили Google возглавить расследование, которое длилось несколько месяцев.

Symantec отрицала любые нарушения, назвав результаты расследования «преувеличенными и вводящими в заблуждение», но в конце концов, согласилась вступить в переговоры. В ходе переговоров стороны согласились на некоторые уступки и разделили весь процесс изменения выдачи сертификатов на 3 фазы.

Первая фаза — 1 декабря 2020 г. Symantec будет сотрудничать с другим СА, который будет выдавать SSL-сертификаты от имени Symantec. Symantec станет, с технической точки зрения, подчиненным центром сертификации — Subordinate Certificate Authority (SubCA).

Этот шаг имеет решающее значение для выживания Symantec в качестве центра сертификации, поскольку позволит компании выдавать новые SSL-сертификаты в ближайшем будущем, сохраняя при этом своих клиентов, однако весь процесс выдачи будет контролировать компания-партнер.

Вторая фаза начнется, с выходом браузера Chrome 66 (предположительно, в апреле 2020 года). С этой версии, Chrome будет отображать ошибки для SSL- сертификатов Symantec, выпущенных до 1 июня 2020 года.

Третья фаза наступит с выпуском Chrome 70 (ориентировочно, октябрь 2020 года). Chrome перестанет доверять всем сайтам с SSL-сертификатами от Symantec, выпущенными до 1 декабря 2020 года.

Владельцам веб-сайтов и другим разработчикам, использующим SSL-сертификаты от Symantec внутри своего приложения придется обратиться к Symantec за новым SSL-сертификатом или вообще связаться с другим поставщиком услуг.

Добавить комментарий