Весной прошлого года в Google заметили, что компания Symantec предоставила возможность выдавать сертификаты минимум четырем организациями, однако не смогла обеспечить необходимый уровень наблюдения за их деятельностью и соблюдением стандартов обслуживания. В результате компания Google инициировала «процедуру прекращения доверия» к Symantec-сертификатам.
Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.
/ Flickr / Yuri Samoilov / CC
При работе с SSL-сертификатами, центры сертификации (CA – certification authority) придерживаются регламента, утвержденного консорциумом CA/Browser Forum, объединяющим разработчиков браузеров, операционных систем и PKI-приложений и корневые сертификационные центры. А весной прошлого года компания Google обвинила Symantec в несоблюдении этого регламента при выдаче сертификатов юридическим лицам.
Претензии касались сертификатов с расширенной проверкой, так называемых EV-сертификатов (Extended Validation). Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции. Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.
Согласно исследованию, проведенному основателем SSLMat Эндрю Айером (Andrew Ayer), выданы с нарушениями были порядка ста сертификатов. В ответ на это в Google инициировали процесс прекращения доверия к сертификатам Symantec. Инициативу поддержала и компания Mozilla.
Чтобы решить проблему с доверием, Symantec нужно было обновить миллионы сертификатов клиентов и провести повторную оценку личности владельцев веб-ресурсов. Этот процесс потребовал бы слишком большого количества времени и денег, поэтому компания решила продать свой CA-бизнес DigiCert – стоимость сделки составила 950 миллионов долларов.
Процедура прекращения доверия начнется 15 марта этого года – во время выхода бета-версии Chrome 66. В этот момент браузер перестанет доверять сертификатам, которые Symantec выдали до 1 июня 2016 года с помощью старой инфраструктуры.
А уже 23 декабря 2018 года, когда выйдет Chrome 70, поддержка сертификатов Symantec прекратится совсем. Процесс пойдет в несколько этапов, так как в компании Google прислушались к просьбам ИТ-сообщества дать время на перевыпуск сертификатов.
Отметим, что утрата доверия затронет и сертификаты CA, связанных с корневым сертификатом Symantec SSL-цепочкой – это GeoTrust, Thawte и RapidSSL. Прекращают работу с сертификатами Symantec (выданными с использованием старой инфраструктуры) и реселлеры SSL-сертификатов, в том числе и компания 1cloud.
С первого декабря 2017 года DigiCert уже выпускает сертификаты Symantec на базе новой инфраструктуры, которые Google не считает «опасными». С этими сертификатами работаем и мы в 1cloud.
Бывший руководитель проектов Microsoft Cryptographic Ecosystem Джоди Клаутьер (Jody Cloutier) говорит, что новое приобретение DigiCert только увеличит инвестиции в развитие продуктов и платформ компании.
При этом клиенты Symantec могут заказывать сертификаты точно так же, как делали до этого, и использовать те же самые инструменты управления: контакты технической поддержки, номера контрактов, бренды и сроки достоверности остаются прежними.
Однако сертификаты, подпадающие под ограничения компании Google и Mozilla, все же необходимо заменить. Представители DigiCert уверяют, что замена будет производиться бесплатно в удобное для пользователей время. Все клиенты, которым необходимо обновить сертификат, получат напоминание и руководство с последовательностью действий. Однако они всегда могут обратиться в поддержку самостоятельно и получить индивидуальную консультацию.
Продажа новых сертификатов будет осуществляться на стандартных условиях компании DigiCert. Дополнительную информацию об услугах по выдаче SSL вы можете найти на официальном сайте.
Если сертификат «попадает под замену», его необходимо перевыпустить, чтобы посетителей вашего сайта не смущали оповещения Google о незащищенности ресурса. Мы предлагаем следовать этим правилам:
Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.
/ Flickr / Yuri Samoilov / CC
Почему продали
При работе с SSL-сертификатами, центры сертификации (CA – certification authority) придерживаются регламента, утвержденного консорциумом CA/Browser Forum, объединяющим разработчиков браузеров, операционных систем и PKI-приложений и корневые сертификационные центры. А весной прошлого года компания Google обвинила Symantec в несоблюдении этого регламента при выдаче сертификатов юридическим лицам.
Претензии касались сертификатов с расширенной проверкой, так называемых EV-сертификатов (Extended Validation). Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции. Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.
Согласно исследованию, проведенному основателем SSLMat Эндрю Айером (Andrew Ayer), выданы с нарушениями были порядка ста сертификатов. В ответ на это в Google инициировали процесс прекращения доверия к сертификатам Symantec. Инициативу поддержала и компания Mozilla.
Чтобы решить проблему с доверием, Symantec нужно было обновить миллионы сертификатов клиентов и провести повторную оценку личности владельцев веб-ресурсов. Этот процесс потребовал бы слишком большого количества времени и денег, поэтому компания решила продать свой CA-бизнес DigiCert – стоимость сделки составила 950 миллионов долларов.
Процедура прекращения доверия
Процедура прекращения доверия начнется 15 марта этого года – во время выхода бета-версии Chrome 66. В этот момент браузер перестанет доверять сертификатам, которые Symantec выдали до 1 июня 2016 года с помощью старой инфраструктуры.
А уже 23 декабря 2018 года, когда выйдет Chrome 70, поддержка сертификатов Symantec прекратится совсем. Процесс пойдет в несколько этапов, так как в компании Google прислушались к просьбам ИТ-сообщества дать время на перевыпуск сертификатов.
Отметим, что утрата доверия затронет и сертификаты CA, связанных с корневым сертификатом Symantec SSL-цепочкой – это GeoTrust, Thawte и RapidSSL. Прекращают работу с сертификатами Symantec (выданными с использованием старой инфраструктуры) и реселлеры SSL-сертификатов, в том числе и компания 1cloud.
Как это скажется на пользователях
С первого декабря 2017 года DigiCert уже выпускает сертификаты Symantec на базе новой инфраструктуры, которые Google не считает «опасными». С этими сертификатами работаем и мы в 1cloud.
«По сути линейка сертификатов не изменилась. Мы продолжаем их продажу», – комментирует начальник отдела развития проекта 1cloud Сергей Белкин.Как отмечают в компании Symantec, специалисты DigiCert хорошо подготовлены и смогут достойно адаптировать бизнес-процессы и принять клиентов. Инфраструктура компании способна поддерживать миллиарды сертификатов и обладает широким потенциалом для масштабирования.
Бывший руководитель проектов Microsoft Cryptographic Ecosystem Джоди Клаутьер (Jody Cloutier) говорит, что новое приобретение DigiCert только увеличит инвестиции в развитие продуктов и платформ компании.
При этом клиенты Symantec могут заказывать сертификаты точно так же, как делали до этого, и использовать те же самые инструменты управления: контакты технической поддержки, номера контрактов, бренды и сроки достоверности остаются прежними.
Однако сертификаты, подпадающие под ограничения компании Google и Mozilla, все же необходимо заменить. Представители DigiCert уверяют, что замена будет производиться бесплатно в удобное для пользователей время. Все клиенты, которым необходимо обновить сертификат, получат напоминание и руководство с последовательностью действий. Однако они всегда могут обратиться в поддержку самостоятельно и получить индивидуальную консультацию.
Продажа новых сертификатов будет осуществляться на стандартных условиях компании DigiCert. Дополнительную информацию об услугах по выдаче SSL вы можете найти на официальном сайте.
Как быть владельцам Symantec-сертификатов
Если сертификат «попадает под замену», его необходимо перевыпустить, чтобы посетителей вашего сайта не смущали оповещения Google о незащищенности ресурса. Мы предлагаем следовать этим правилам:
- Если ваш SSL-сертификат куплен до 1 июня 2016 года, а срок его действия заканчивается после 14 марта 2018 года, то перевыпустить сертификат нужно до середины марта. В этот период выходит Chrome 66, и его пользователи будут получать уведомления от Google о небезопасности вашего ресурса.
- Если сертификат выдан в период с 1 июня 2016 года по 1 декабря 2017 года, то его нужно перевыпустить до 13 сентября 2018 года, то есть до выхода беты Chrome 70. Отметим, что если вы перевыпускали сертификат до 1 декабря прошлого года, вам придется заменить его повторно.
- Сертификаты, приобретенные уже после 1 декабря 2017 года, менять не требуется. Однако мы все же советуем следить за новостями в этой области, на случай возникновения непредвиденных обстоятельств.