DigiCert купили Symantec Website Security: последствия для пользователей SSL/TLS-сертификатов

    Весной прошлого года в Google заметили, что компания Symantec предоставила возможность выдавать сертификаты минимум четырем организациями, однако не смогла обеспечить необходимый уровень наблюдения за их деятельностью и соблюдением стандартов обслуживания. В результате компания Google инициировала «процедуру прекращения доверия» к Symantec-сертификатам.

    Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.


    / Flickr / Yuri Samoilov / CC

    Почему продали


    При работе с SSL-сертификатами, центры сертификации (CA – certification authority) придерживаются регламента, утвержденного консорциумом CA/Browser Forum, объединяющим разработчиков браузеров, операционных систем и PKI-приложений и корневые сертификационные центры. А весной прошлого года компания Google обвинила Symantec в несоблюдении этого регламента при выдаче сертификатов юридическим лицам.

    Претензии касались сертификатов с расширенной проверкой, так называемых EV-сертификатов (Extended Validation). Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции. Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.

    Согласно исследованию, проведенному основателем SSLMat Эндрю Айером (Andrew Ayer), выданы с нарушениями были порядка ста сертификатов. В ответ на это в Google инициировали процесс прекращения доверия к сертификатам Symantec. Инициативу поддержала и компания Mozilla.

    Чтобы решить проблему с доверием, Symantec нужно было обновить миллионы сертификатов клиентов и провести повторную оценку личности владельцев веб-ресурсов. Этот процесс потребовал бы слишком большого количества времени и денег, поэтому компания решила продать свой CA-бизнес DigiCert – стоимость сделки составила 950 миллионов долларов.

    Процедура прекращения доверия


    Процедура прекращения доверия начнется 15 марта этого года – во время выхода бета-версии Chrome 66. В этот момент браузер перестанет доверять сертификатам, которые Symantec выдали до 1 июня 2016 года с помощью старой инфраструктуры.

    А уже 23 декабря 2018 года, когда выйдет Chrome 70, поддержка сертификатов Symantec прекратится совсем. Процесс пойдет в несколько этапов, так как в компании Google прислушались к просьбам ИТ-сообщества дать время на перевыпуск сертификатов.

    Отметим, что утрата доверия затронет и сертификаты CA, связанных с корневым сертификатом Symantec SSL-цепочкой – это GeoTrust, Thawte и RapidSSL. Прекращают работу с сертификатами Symantec (выданными с использованием старой инфраструктуры) и реселлеры SSL-сертификатов, в том числе и компания 1cloud.

    Как это скажется на пользователях


    С первого декабря 2017 года DigiCert уже выпускает сертификаты Symantec на базе новой инфраструктуры, которые Google не считает «опасными». С этими сертификатами работаем и мы в 1cloud.
    «По сути линейка сертификатов не изменилась. Мы продолжаем их продажу», – комментирует начальник отдела развития проекта 1cloud Сергей Белкин.
    Как отмечают в компании Symantec, специалисты DigiCert хорошо подготовлены и смогут достойно адаптировать бизнес-процессы и принять клиентов. Инфраструктура компании способна поддерживать миллиарды сертификатов и обладает широким потенциалом для масштабирования.

    Бывший руководитель проектов Microsoft Cryptographic Ecosystem Джоди Клаутьер (Jody Cloutier) говорит, что новое приобретение DigiCert только увеличит инвестиции в развитие продуктов и платформ компании.

    При этом клиенты Symantec могут заказывать сертификаты точно так же, как делали до этого, и использовать те же самые инструменты управления: контакты технической поддержки, номера контрактов, бренды и сроки достоверности остаются прежними.

    Однако сертификаты, подпадающие под ограничения компании Google и Mozilla, все же необходимо заменить. Представители DigiCert уверяют, что замена будет производиться бесплатно в удобное для пользователей время. Все клиенты, которым необходимо обновить сертификат, получат напоминание и руководство с последовательностью действий. Однако они всегда могут обратиться в поддержку самостоятельно и получить индивидуальную консультацию.

    Продажа новых сертификатов будет осуществляться на стандартных условиях компании DigiCert. Дополнительную информацию об услугах по выдаче SSL вы можете найти на официальном сайте.

    Как быть владельцам Symantec-сертификатов


    Если сертификат «попадает под замену», его необходимо перевыпустить, чтобы посетителей вашего сайта не смущали оповещения Google о незащищенности ресурса. Мы предлагаем следовать этим правилам:

    1. Если ваш SSL-сертификат куплен до 1 июня 2016 года, а срок его действия заканчивается после 14 марта 2018 года, то перевыпустить сертификат нужно до середины марта. В этот период выходит Chrome 66, и его пользователи будут получать уведомления от Google о небезопасности вашего ресурса.
    2. Если сертификат выдан в период с 1 июня 2016 года по 1 декабря 2017 года, то его нужно перевыпустить до 13 сентября 2018 года, то есть до выхода беты Chrome 70. Отметим, что если вы перевыпускали сертификат до 1 декабря прошлого года, вам придется заменить его повторно.
    3. Сертификаты, приобретенные уже после 1 декабря 2017 года, менять не требуется. Однако мы все же советуем следить за новостями в этой области, на случай возникновения непредвиденных обстоятельств.

    Несколько постов по теме из блога 1cloud:

    1cloud.ru 130,75
    IaaS, VPS, VDS, Частное и публичное облако, SSL
    Поделиться публикацией
    Комментарии 20
      0
      А какой СА сейчас надежный? Что покупать?
        +3
        В 99,9% подойдёт бесплатный LetsEncrypt.
          +2

          Эх, еще пару неделек, и должны перевести в паблик acme2 сервера с поддержкой wildcard. Вот тогда и правда будет 99,9% ))

            0
            В 99,9% подойдёт бесплатный LetsEncrypt.


            Вы не поняли сути проблемы.
            Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.


            Речь о сертификатах, где пользователи проверяются.
            Lets Encrypt — вообще о другом.
              0
              Ну вообще в комментарии выше ничего не говорилось о необходимости получения EV-сертификата, для которого такая проверка необходима.
                0
                Речь о сертификатах, где пользователи проверяются.

                Они и входят в 0,1% остальных случаев. Статья конечно начиналась с EV-сертицикатов, но, как я понимаю, последующие за этим пертурбации затрагивают всех владельцев сертификатов от DigiCert и их партнёров, и им теперь тоже нужно менять сертификаты, а лучшим выбором тут будет LE.
            0
            Пошел почитать расследование про Symantec, ожидая, что там будет нечто типа встречавшегося мне в жизни получения EV с предоставлением левых, но праводподобных данных, относительно местонахождения компании (CA не проявлял достаточной настойчивости при проверке и выдавал EV). А там… Выдача EV сертификатов на test.com с остальными полями заполненными словами «test».

            И тут я подумал, что сумма сделки 950 миллионов — это заплатил Symantec просто чтобы больше никогда не видеть людей, которые работают в этом CA.
              0
              Мне показалось, что это просто предлог, что б отжать бизнесубрать из сертификации известную и уважаемую компанию. Особенно учитывая: «Symantec сообщает, что открыта для диалога и надеется разрешить данную ситуацию, совместно с представителями Google.»
              Гугл определенно имеет свои планы в этой сфере учитывая эту тему.
              0
              Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции.

              Чем регламентируется, что нужны веб-ресурсам, обрабатывающим финансовые операции?
                0
                Тем, что любой школьник может купить сертификат на домен, а последние года четыре выписать бесплатно, и заниматься мошенничеством. А EV-сертификаты получить не так просто, и они резко отличаются от обычных по отображению в браузерах, что даёт возможность легко проверить, что вы вводите данные своей карточки на сайте банка или крупного магазина, а не мошенника.
                Надеюсь, саму необходимость шифрования доказывать не нужно.
                  0

                  Как абстрактный Вася узнает, что перед вводом номера карточки нужно проверить, написано ли название? Замочек же есть, значит безопасно)

                    0
                    Тут да, проблема в том, что браузеры помечают само наличие сертификата как что-то безопасное. Но не все являются абстрактными васями, и хоть немного разбирающиеся видят разницу между DV и EV сертификатом.
                      0
                      Как абстрактный Вася узнает, что перед вводом номера карточки нужно проверить, написано ли название? Замочек же есть, значит безопасно)

                      нужно развивать компьютерную грамотность.
                      в конце концов виноват Вася будет сам.
                      но предоставить ему возможность увидеть сертификат — нужно.
                      технически такая возможность уже реализована.
                        0
                        но предоставить ему возможность увидеть сертификат — нужно.
                        технически такая возможность уже реализована.

                        Раньше вообще можно было посмотреть сертификат в два клика, но хромизация всех браузеров убила эту возможность ((
                        Но для EV сертификатов ничего смотреть не нужно, их из браузерной строки видно.
                          0

                          ксати, в хром вернули фичу с быстрым просмотром сертификата

                            0
                            их из браузерной строки видно.

                            Об этом и речь.
                            Теперь все дело за грамотностью населения
                        0
                        Вопрос про другое. Утверждалось, что EV-сертификаты нужны веб-ресурсам, обрабатывающим финансовые операции.

                        Представим, условный Вася хочет купить через интернет нечто. Его перенаправляют с магазина на сайта процессинга. И тут Вася не видит EV-плашки, и думает: «да ну его, даже EV-сертификата нет, пойду поищу другой магазин с нормальным процессингом с нормальным EV-сертификатом». Это так работает?

                        Или, открываешь ты свой процессинг, и тут тебе регулятор выкатывает простыню законов и правил, и один из пунктов про наличие ev-сертификата. Это так работает?
                          0
                          Его перенаправляют с магазина на сайта процессинга. И тут Вася не видит EV-плашки


                          В этом случае видит как раз.

                          Да и если у тебя интернет-магазин с хорошими оборотами — купить за смешную для твоего бизнеса сумму сертификат — не есть проблема.
                            0
                            Практика показывает обратное, ни paypal, ни ali, список глобальных процессингов можно продолжить, не беспокоит отсутствие EV.
                              0
                              Наверно потому что у Paypal сертификат, все же, именной?
                              ;)
                              Конечно не беспокоит — они уже купили и не беспокоятся.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое