Google прекратит поддержку SSL-сертификатов от Symantec

Компания Google приняла решение прекратить доверие к SSL-сертификатам удостоверяющего центра Symantec, начиная с октября 2018 года. Symantec будет перестраивать всю свою инфраструктуру выдачи сертификатов.

 

В марте 2017 года инженеры Google и Mozilla обнаружили, что Symantec допустила нарушения при выдаче 127 сертификатов SSL, но по мере продвижения расследования эта первоначальная оценка выросла до колоссальной цифры в более 30 000 сертификатов.

 

Данный масштаб шокировал экспертов отрасли. Поскольку Symantec был одним из крупнейших удостоверяющих центров на рынке, немногие осмелились публично отреагировать. Первым, кто проявил недовольство процедурами выдачи SSL-сертификатов Symantec, стал Google, который через несколько дней после получения окончательных цифр объявил о намерении постепенно удалить поддержку сертификатов Symantec в Chrome.

 

Примерный сценарий развития событий

Этап 1. Symantec становится агентом другого удостоверяющего центра

После 1 декабря 2017 года Symantec начнет сотрудничество с другим удостоверяющим центром и будет выдавать сертификаты SSL под своим именем. С технической стороны Symantec будет выполнять роль подчиненного УЦ или Subordinate Certificate Authority (SubCA).  Google предложил данное решение этой весной, Symantec признал его в июне и одобрил в середине июля.

 

Этот шаг имеет решающее значение для выживания Symantec в качестве действительного центра сертификации, поскольку он позволит компании вести бизнес и выдавать новые сертификаты SSL в ближайшем будущем, сохраняя при этом своих клиентов.

 
Google также удовлетворен тем, что Symantec становится SubCA, поскольку УЦ, который принимает Symantec под своим крылом, будет нести ответственность за выдачу сертификатов SSL. Google и другие поставщики браузеров надеются, что, передача процесса выдачи SSL в инфраструктуру другого центра сертификации позволит предотвратить попытки нарушения Symantec утвержденных правил и случаи выдачи сертификатов неподходящим сайтам.

 

Этап 2. Частичное недоверие к сертификатам Symantec в Chrome

Второй этап начнется, когда Google выпустит Chrome 66 (предположительно, апрель 2018 года). Запустив эту версию, Chrome будет отображать ошибку для всех сертификатов Symantec, выпущенных до 1 июня 2016 года.  К 2018 году срок действия большинства этих сертификатов истечет, поэтому Google и Symantec смогут постепенно перейти к 3 этапу.

 

Этап 3. Полное недоверие к сертификатам Symantec в Chrome

С выпуском Chrome 70 (запланированным ориентировочно на октябрь 2018 года) Chrome будет отображать ошибки для всех сайтов с сертификатами Symantec SSL, выпущенными на старой инфраструктуре до 1 декабря 2017 года.

 

Этот этап представляет настоящую катастрофу для SSL сертификатов компании Symantec, которая согласно статистике, выдала каждый шестой SSL сертификат в Интернете.

 

Владельцам веб-сайтов и другим разработчикам, использующим сертификаты Symantec SSL внутри своего приложения, придется обратиться к Symantec за новым сертификатом SSL (выпущенным через партнера SubCA) или вообще связаться с другим поставщиком цифровых сертификатов. Затронуты сертификаты GeoTrust, Thawte и RapidSSL.

 

Google удалит текущий корневой сертификат Symantec, но оставит возможность для внедрения нового корневого сертификата, который Symantec утвердит в будущем.

 

Кроме того, поскольку Symantec покупала другие центры сертификации, такие как GeoTrust, Thawte и RapidSSL, корневые сертификаты этих бывших компаний были добавлены в корневой каталог Symantec. Сертификаты, выпущенные в рамках этих трех центров сертификации, постигнет та же участь, что и родные сертификаты Symantec SSL. Аналогично, веб-мастерам и разработчикам придется запрашивать новые сертификаты.

 

До тех пор, пока Symantec не пересмотрит свои процедуры выдачи SSL и не получит более надежную систему, маловероятно, что Google снова разрешит новый корневой сертификат Symantec в Chrome. В то же время опция SubCA позволяет Symantec продолжать поддерживать свой бренд, даже работая с чужим корневым сертификатом.

 

В прошлом году Google прекратила доверие к сертификатам WoSign и StartCom за аналогичные проблемы.

МСП оптимизируют рабочий процесс используя облачные технологии
Microsoft 365 объединяет Windows 10 и Office 365 в одном предложении