Google odhaľuje formálny plán nedôverovať certifikátom Symantec v roku 2018

Google odhalil formálne plány nedôverovať bezpečnostným certifikátom Symantec od vydania Chrome 66 v roku 2018.

V pondelok boli na webe zverejnené hotové plány technologického giganta oficiálny blog Google Security, v ktorom sa uvádza, že počnúc verziou Chrome 66 nebude žiadny bezpečnostný certifikát vydaný spoločnosťou Symantec vydaný pred 1. júnom 2016 akceptovaný ako platný a dôveryhodný.

Do 1. decembra tohto roku spoločnosť Symantec prepne vydávanie certifikátov na infraštruktúru DigiCert, a tak nič, čo bolo vydané na základe starej infraštruktúry po rovnakom dátume, tiež nebude dôveryhodné Chrome.

Najnovšia verzia webového prehliadača Chrome je 61.0.3163, ale vydanie verzie 66 pre používateľov Chrome Beta je naplánované na 15. marca 2018 a pre bežných používateľov prehliadača Chrome okolo 17. apríla 2018.

Google najprv oznámil svoje zámery v júli, ale správcovia webu teraz dostali formálne varovanie pred nastávajúcimi zmenami.

Pôvodné oznámenie viedlo k vážnej diskusii na fóre blink-dev a podľa spoločnosti Google poskytol spoločnosti Symantec čas na „modernizáciu a prepracovanie svojej infraštruktúry tak, aby sa prispôsobila priemyslu štandardy“.

V roku 2015 bol objavený koreňový certifikát Symantec ktorá nevyhovovala s modernými bezpečnostnými štandardmi, čo vedie k tomu, že Google zruší dôveru certifikátu. In januára tohto roku, bezpečnostná firma náhodou prostredníctvom partnera vydala testovacie a vzorové certifikáty, čo viedlo k dopytu.

Certifikačné autority (CA) a bezpečnostné certifikáty, ktoré vydávajú, majú zaručiť základnú úroveň bezpečnosť, ale ak je CA nedôveryhodná, tieto certifikáty môžu ohroziť koncového používateľa pri pokuse o pripojenie k webovú doménu.

Spresnená časová os je preto užitočná pre prevádzkovateľov stránok. Správcovia webu, ktorí používajú certifikát vydaný certifikačnou autoritou Symantec pred 1. júnom 2016, budú musieť svoj existujúci certifikát pred týmto termínom nahradiť.

Približne v týždni od 23. októbra 2018 má byť vydaný Chrome 70, ktorý podľa Google „úplne odstráni dôveru v starú infraštruktúru Symantecu a všetky certifikáty, ktoré vydala“.

„To ovplyvní akékoľvek reťazenie certifikátov s koreňmi Symantec, s výnimkou malého počtu vydaných spoločnosťou nezávisle prevádzkované a kontrolované podriadené CA, ktoré boli predtým oznámené spoločnosti Google,“ spoločnosť hovorí.

Pre správcov webu je stále možné získať certifikáty z existujúcej infraštruktúry CA spoločnosti Symantec, ale budú musieť byť nahradené pred verziou Chrome 70 – a ich platnosť bude obmedzená na 13 mesiacov.

Google poskytol podrobnú časovú os zmien, ktoré si môžete pozrieť tu.

Teraz ten DigiCert prevzal V oblasti CA spoločnosti Symantec môžeme dúfať, že všetky nové certifikáty budú spĺňať moderné bezpečnostné štandardy a že takéto zlyhania sa v budúcnosti nebudú vyskytovať.

V júli získal Symantec mobilná bezpečnostná spoločnosť Skycure, izraelská spoločnosť, ktorá poskytuje platformu prediktívnej detekcie hrozieb pre mobilné zariadenia.

Predchádzajúce a súvisiace pokrytie

• Symantec získa takmer 1 miliardu USD plus akcie v obchodnom predaji certifikátov
• Symantec zruší chybné bezpečnostné certifikáty
• Spoločnosť Symantec oklamala bezpečnostného výskumníka, aby odstránil legitímne certifikáty