Через кілька місяців SSL-сертифікати, випущені компанією Symantec, перестануть прийматися браузерами Chrome. Але до березня 2018 р власники сайтів ще встигають обзавестися легітимним сертифікатом!
Навіть у компаній, що розміняли чверть століття в бізнесі ІТ-безпеки, бувають прикрі промахи. Відмова в довірі SSL-сертифікату, виданому Symantec до 1 червня 2016 року, корпорація Google запланувала на березень 2018 року, коли буде випущена бета-версія браузера Chrome 66 (стабільний реліз намічений на квітень 2018 р.) Треба готуватися до того, що сайти, які використовують сертифікати від Symantec, в самому найближчому майбутньому взагалі будуть блокуватися не тільки Google Chrome, але і браузерами Firefox.
Докладний план поступової відмови в довірі SSL-сертифікату, виданому ще до самих недавніх пір одним з найбільших світових операторів сертифікації, корпорація Google опублікувала в середині вересня 2017 р
Варто врахувати, що в число брендів, що мають безпосереднє відношення до Symantec, входять ще й сертифікати Thawte, VeriSign, Equifax, GeoTrust і RapidSSL, і їх чекає та ж сумна доля.
За що ж їх так? Думки експертів, як часто буває, різняться в деталях, але єдині в одному: Symantec веде нечесну гру. В контексті SSL-сертифікації та мережевої безпеки в цілому це досить серйозно. Ще в 2015 році і без того гучне ім'я Symantec прогриміло по всьому світу в світлі розслідування інцидентів з сертифікатами, виданими з порушеннями: 187 сертифікатів на існуючі домени були видані без відома власників, плюс - були випущені 2458 сертифікатів на неіснуючі домени. Природно, що Google ввела відповідні заходи проти порушника і зажадала вжити ряд заходів щодо посилення безпеки (зокрема, аудиту випущених сертифікатів, підтримки новими сертифікатами фреймворка Certificate Transparency і ін.). Через деякий час Google знову звернула увагу на Symantec, виявила не тільки відсутність «роботи над помилками», а й нові порушення, і винесла відповідний вердикт: в довірі відмовити, статус Extended Validation відкликати. Сертифікати EV виявилися особливо болючою темою в процесі розгляду: формат сертифіката цього рівня вимагає ретельної верифікації власника домену, включаючи фізичну присутність. Проте, результати перевірки Google показали, що Symantec не завжди дотримувалася прописану процедуру, поряд з іншими, досить серйозними, порушеннями політики безпеки і встановлених стандартів сервісу.
У світлі цих подій зрозуміло, що довіра до сертифікатів Symantec і пов'язаним з нею УЦ, Google втратив. Але Chrome - не єдиний браузер в мережі, природно. І за традицією, Mozilla також заявила про втрату довіри до сертифікатів Symantec, починаючи з грудня 2017 року і завершуючи повною відмовою в Firefox 63 або Firefox 64 (відповідно, середина жовтня 2018 року або кінець листопада 2018 г.). Однак, за зауваженнями багатьох експертів, фактичний старт відмови Mozilla відбудеться все-таки навесні 2018 року: тобто, майже синхронно з Google.
Варто нагадати в цьому зв'язку, що аналогічна ситуація сталася з сертифікатами WoSign і StartCom: Google відмовила їм повністю в довірі з версії Chrome 61, а Mozilla - з версії Firefox 51.
Що очікує Symantec? Найімовірніше - реструктуризація процесу випуску сертифікатів, передача прав іншій організації, або відмова від випуску кореневих сертифікатів. Найближче майбутнє покаже. У будь-якому випадку, «його приклад - іншим наука». І не забувайте про безпеку своїх ресурсів, замовляйте SSL-сертифікати у перевірених компаній. Фахівці компанії SIM-Networks допоможуть підібрати найкращий варіант для вас - звертайтеся!
За матеріалами:
security.googleblog.com
www.linux.org.ru
www.searchengines.ru
Автор: Аліса Кандеева