Googles browser vil starte processen med at fjerne tillid fra gamle Symantec TLS-certifikater i Chrome 66.
Google har fremlagt sin endeligt forslag at begynde at mistillid til Symantec-udstedte TLS-certifikater, og arbejdet skal begynde, når Chrome 66 fjerner tillid fra certifikater udstedt før 1. juni 2016.
Udgivelsesdatoen for Chrome 66 er beregnet til at være den 17. april 2018 med Symantec-certifikatejere opfordret af Google til at erstatte disse certifikater, uanset om det er via Symantec eller et andet certifikat udbyder.
I midten af oktober, når Chrome 62 frigives, begynder browserens udviklerværktøjer at advare om certifikater, der er stødt på, som vil blive påvirket af mistilliden.
Et år senere, når Chrome 70 frigives, foreslås det, at browseren vil mistro ethvert certifikat, der er udstedt af Symantecs gamle infrastruktur, inklusive dem, der sælges efter 1. juni 2016.
"Dette inkluderer alle erstatningscertifikater udstedt af Symantec før overgangen til ikke-Symantec-drevet 'Managed Partner Infrastructure'," Chrome Engineering Vice President Darin skrev Fisher.
"På disse datoer skal berørte webstedsoperatører fuldt ud have erstattet alle TLS-servercertifikater udstedt fra Symantecs gamle infrastruktur ved hjælp af enhver betroet CA, inklusive den nye Managed Partner Infrastruktur. Hvis et websted ikke migreres til en af disse to muligheder, vil det resultere i brud, når Chrome 70 frigives."
Ifølge Fisher har Symantec sagt, at deres nye Managed Partner Infrastructure vil være klar den 1. december.
Google først meddelte sin hensigt at begynde at mistro Symantec i marts med den oprindelige plan om at se gyldighedsvinduet. Symantec-certifikater var gyldige i reduceret til ni måneder over en række udgivelser.
Fisher sagde, at selvom tidslinjen er skredet, er det en passende balance mellem risikoen for brugerne og minimering af forstyrrelser.
"Denne tid vil tillade klar besked og planlægning for webstedsoperatører til at opdatere certifikater," sagde han.
"Selvom vi har til hensigt at holde fast i denne tidsplan, hvis der er nye oplysninger, der fremhæver yderligere sikkerhed risici med dette sæt af certifikater, kan datoerne ændre sig til hurtigere at mistro det eksisterende certifikater."
For sin del, Symantec tidligere efterlyste datoen for mistillid til dets certifikater udstedt før juni 2016 flyttes til 1. maj 2018.
I sidste uge, sikkerhedsforsker Hanno Böck narret Symantec til ukorrekt tilbagekaldelse af certifikater baseret på forfalskede private nøgler.
Ifølge en blogindlæg skrevet af Böck, registrerede han et par domæner, modtog gratis TLS-certifikater fra Symantec og Comodo og oprettede et sæt falske private nøgler uploadet til Pastebin for hvert domæne at sende til den relevante certifikatudbyder sammen med en anmodning om at tilbagekalde certifikatet, fordi dets private nøgle var offentligt kan ses.
Böck begravede sine falske nøgler blandt en liste over ægte offentligt synlige private nøgler og fandt ud af, at mens Comodo ikke tilbagekaldte sit certifikat, informerede Symantec ham om, at de havde tilbagekaldt det hele liste.
"Symantec gjorde en stor bommert ved at tilbagekalde et certifikat baseret på fuldstændig forfalskede beviser," sagde han. "Der er næppe nogen undskyldning for dette, og det indikerer, at de driver en certifikatmyndighed uden en ordentlig forståelse af den kryptografiske baggrund."
Sikkerhed
- 8 vaner hos yderst sikre fjernarbejdere
- Sådan finder og fjerner du spyware fra din telefon
- De bedste VPN-tjenester: Hvordan sammenligner top 5?
- Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu