Google прекратит поддержку сертификатов Symantec

15 марта 2018 года Google Chrome перестанет доверять SSL-сертификатам Symantec — так объявили инженеры Google в блоге разработчиков Chromium. Не у дел останутся и сертификаты, связанные с Symantec цепочкой доверия — GeoTrust, Thawte и RapidSSL.

Как так получилось

В 2015 году Symantec впервые нарушили правила выдачи сертификатов — выпустили сертификаты без запроса владельцев. Среди пострадавших оказались даже сервисы Google — Google.com, Gmail.com и Gstatic.com.

В январе 2017 года ситуация повторилась. Сертификационный центр выпустил 108 ошибочных SSL-сертификатов с расширенной проверкой (EV). А весной того же года специалисты Google обнаружили, что под именем Symantec сертификаты выдавали 4 сторонние компании. Это серьезное нарушение правил выдачи сертификатов — ошибочно выданными сертификатами могли воспользоваться мошенники.

Сертификационный центр не предоставил отчеты об этих инцидентах и, как следствие, потерял доверие Google и Mozilla.

Чтобы окончательно не потерять позиции на рынке SSL-сертификатов, Symantec продали подразделение Website Security конкуренту DigiCert за $950 млн. 

С 1 декабря 2017 DigiCert начнут выпускать сертификаты Symantec на собственной, более безопасной инфраструктуре, а корневой сертификат Symantec перестанет быть главным в цепочке доверия. 

 

Когда браузер перестанет доверять сертификатам?

13 сентября 2018 года Google Chrome полностью прекратят поддержку сертификатов, выпущенных до 1 декабря 2017 года. Изменения пройдут постепенно:

24 октября 2017 – релиз версии Chrome 62.
В этой версии браузера с помощью инструментов разработчика можно будет узнать, надёжен ли ваш сертификат. Сертификат останется доверенным — посетители сайта не заметят изменений.

1 декабря 2017 – DigiCert начнет выпускать сертификаты Symantec на базе новой инфраструктуры. Утрата доверия к Symantec не коснется SSL-сертификатов, выпущенных после 1 декабря 2017 г. 

15 марта 2018 — релиз бета-версии Chrome 66. 
Браузер перестанет поддерживать сертификаты Symantec, GeoTrust, Thawte и RapidSSL, выпущенные до 1 июня 2016. Пользователи увидят на сайте ошибку безопасности.

13 сентября 2018 — релиз бета-версии Chrome 70. 
Все сертификаты, выпущенные до 1 декабря 2017, станут недоверенными.

23 октября 2018 — стабильная версия Chrome 70. 
Все пользователи увидят ошибку безопасности на сайте с SSL-сертификатом, выпущенным до 1.12.2017.

Что делать владельцам сертификатов Symantec, GeoTrust, RapidSSL и Thawte?

24 октября 2017 года проверьте, надёжен ли ваш сертификат, через инструменты разработчика Google. С первого декабря этого года вы сможете перевыпустить ненадёжный сертификат бесплатно через личный кабинет.

Изменения вступят в силу только в марте 2018 года. Не торопитесь перевыпускать сертификат — Google может изменить сроки или вовсе отменить санкции к Symantec. 
Если перевыпустить сертификат сейчас — вам придется перевыпускать его повторно до 13 сентября 2018 года. 

Будем держать вас в курсе — в октябре расскажем, как проверить надёжность сертификата, и вовремя сообщим об изменениях.

Автор статьи:

Даниил Колесников

Вернуться