Привет Хабр, ранее, в своем блоге по безопасности, мы объявили о планах по снижению доверия Chrome к сертификатам Symantec (включая принадлежащие Symantec бренды, такие как Thawte, VeriSign, Equifax, GeoTrust и RapidSSL). В этом посте описывается, как владельцы сайтов могут определить, повлияет ли на них снижение доверия к сертификатам Symantec, и если да, то что нужно сделать и когда. Отказ от замены этих сертификатов приведет к поломке сайта в будущих версиях основных браузеров, включая Chrome и Firefox.
Chrome 66
Если ваш сайт использует сертификат SSL / TLS от Symantec, который был выпущен до 1 июня 2016 года, он перестанет нормально функционировать уже в Chrome 66, что в свою очередь может повлиять на ваших пользователей.
Если вы не уверены в том, использует ли ваш сайт такой сертификат, вы можете уже сейчас проверить находится ли ваш сайт в зоне риска с помощью Chrome Canary. Если при переходе на ваш сайт отображается ошибка сертификата или предупреждение в DevTools, как показано ниже, вам нужно будет заменить сертификат. Вы можете получить новый сертификат от любого доверенного ЦС, включая Digicert, который недавно приобрел бизнес CA Symantec.
Пример ошибки сертификата, которую пользователи Chrome 66 могут увидеть, если вы используете сертификат Legacy Symantec SSL / TLS, который был выпущен до 1 июня 2016 года
В сообщении DevTools вы увидите, нужно ли заменить сертификат до выхода Chrome 66
Chrome 66 уже доступен в каналах дистрибуции Canary и Dev, что означает, что затронутые сайты уже сейчас показывают ошибки пользователям этих версий Chrome. Более того, если затронутые сайты не заменят свои сертификаты до 15 марта 2018 года, то в скором времени и пользователи Chrome Beta также начнут испытывать неудобства. Мы настоятельно рекомендуем и просим владельцев сайтов как можно скорее заменить сертификаты если на вашем сайте показывается ошибка при просмотре с помощью Chrome Canary.
Chrome 70
Начиная с Chrome 70 все остальные сертификаты Symantec SSL / TLS перестанут работать, что приведет к ошибке сертификата, аналогичной показанной в КДПВ. Чтобы проверить, не находится ли ваш сертификат в зоне риска, зайдите на свой сайт с помощью Chrome и откройте DevTools. В консоли должно появится сообщение о необходимости замены сертификата.
В сообщении DevTools вы увидите, нужно ли заменить сертификат до выхода Chrome 70
Если вы увидели такое сообщение в DevTools, мы рекомендуем заменить сертификат как можно скорее. Если сертификат не будет заменен, пользователи начнут видеть ошибки сертификата на вашем сайте начиная с 20 июля 2018 года включительно. Первая версия бета-версии Chrome 70 будет доступно около 13 сентября 2018 года.
Временная шкала выпусков Chrome
В приведенной ниже таблице показаны первая версия Canary, First Beta и Stable Release для Chrome 66 и 70. Первое влияние данной версии будет совпадать с первой канарейкой, которая будет постоянно расширяться, поскольку релиз попадает на бета-версию, а затем в конечном итоге на Stable. Операторам сайта настоятельно рекомендуется внести необходимые изменения на свои сайты перед выпуском First Canary для Chrome 66 и 70 и не позднее соответствующих дат выпуска бета-версии.
Кстати говоря, получить подробную информацию о временной шкале выпуска для конкретной версии Google Chrome вы всегда можете в календаре развития проекта Chromium.
Для того чтобы удовлетворить потребности корпоративных пользователей, в Сhrome будет добавлена корпоративная политика (Enterprise Policy), которая позволит отключить недоверие к Legacy Symantec PKI, начиная с Chrome 66. Это политика перестанет быть доступна после 1 января 2019 года, соответственно сертификаты от Legacy Symantec PKI перестанут быть доверенными для всех пользователей.
Особое упоминание: Chrome 65
Как отмечено в предыдущем объявлении, сертификаты SSL / TLS от Legacy Symantec PKI, выпущенные после 1 декабря 2017 года, больше не являются доверенными. Это не должно затронуть большинство владельцев сайта, т.к. для получения таких сертификатов требуется специальное соглашение с DigiCert. Доступ к сайтам использующим такой сертификат завершится неудачно, запрос будет заблокирован для Chrome 65.