Symantec ve Google, tarayıcı güvenliği ve dijital sertifikalar konusunda yine anlaşmazlığa düştü.
Önümüzdeki haftalarda Chrome ve Android, Symantec'in RSA anahtar boyutu 1.024 bit olan kök sertifikalarından birine artık güvenmeyecek.
Google, Symantec'in VeriSign Sınıf 3 Kamu Birincil Sertifikasının Authority G1 (PCA3-G1) sertifikası, 1 Aralık itibarıyla artık CA/Tarayıcı Forumunun Temel Değeriyle uyumlu değil Gereksinimler.
Sertifika, tarayıcılar ve web siteleri arasındaki bağlantıları şifrelemek için SSL/TLS sertifikalarının yanı sıra kod imzalama sertifikaları oluşturmak için kullanılır.
"Bu gereklilikler sektördeki en iyi uygulamaları yansıttığından ve kamu tarafından güvenilen sertifikaların temelini oluşturduğundan, bunlara uyulmaması, Google ürünlerinin kullanıcıları için kabul edilemez bir risk teşkil etmektedir." Google yazılım mühendisi Ryan Sleevi kayıt edilmiş Cuma gününde.
Şunları ekledi: "Google artık kök sertifikanın veya bu kökten verilen sertifikaların sertifikası, Google ürünlerinin güvenli iletişimini engellemek, bozmak veya taklit etmek için kullanılmayacaktır veya kullanıcılar."
Sleevi ayrıca Symantec'in kök sertifikayı aşağıdaki amaçlar dışında kullanmaya devam etmeyi planladığını da belirtti: halka açık olarak güvenilen sertifikalar ancak kullanacağı sertifikaların yeni amaçlarını belirtmedi oluşturmak.
Kök sertifikanın OS X 10.11 El Capitan'dan önce Android, Windows ve OS X'te "geniş çapta güvenilir" olması nedeniyle Google'ın Symantec'in isteği üzerine "önleyici eylem" gerçekleştirdiğini söyledi.
Symantec yaptığı açıklamada Kasım ayında aralarında Google'ın da bulunduğu büyük tarayıcı satıcılarına tarayıcılarını kaldırmaları gerektiğini söylediğini söyledi. kök sertifikaya güven ve sertifikaların kurumsal müşterilerin halka açık olmayan hizmetlerini desteklemek için kullanılacağı uygulamalar.
"Bu özel kök sertifikanın artık önerilmeyen daha eski, daha düşük güçlü bir güvenliğe dayalı olması ve veri oluşturmak için kullanılmaması nedeniyle bu işlemi önerdik. Birkaç yıl içinde yeni sertifikalar alacağız ve artık bazı kurumsal müşterilerimizin eski, kamuya açık olmayan uygulamalarına geçiş desteği sağlamak üzere yeniden tasarlanacağız" dedi. söz konusu.
Symantec ayrıca diğer tarayıcı üreticilerinin 2014 yılında harekete geçmeye başladıklarını da vurguladı. Mozilla güveni kaldırdı Firefox 32'de belirli Symantec/Verisign kök sertifikası Sertifikayı yaygınlaştırmaya yönelik sektör çapındaki çabaların bir parçası olarak geçtiğimiz Eylül ayında diğer yedi kişiyle birlikte otoriteler 1.024 bitlik kök sertifikaları kullanmaktan uzaklaşıp kriptografik olarak daha güçlü hale geliyor 2.048 bitlik anahtarlar.
Mozilla güveni kaldırdı daha fazla 1.024 bitlik kök sertifikalar içinOcak ayında Symantec tarafından işletilen biri de dahil.
Symantec, "Google, bu kök sertifikayı engelleyeceklerini açıklayarak, tam olarak bizim istediğimiz gibi yapmayı planladıklarını belirtmiş oldu; bu, diğer tarayıcıların 2014 yılında atmaya başladığı bir adımdır" dedi.
Şirket notlar Bir lisans belgesinde şu ifadeler yer almaktadır: "1 Aralık 2015 tarihinden itibaren geçerli olmak üzere Symantec, genel SSL sertifikalarının verilmesi için VeriSign G1 kökünün kullanımını durdurmuştur. Bu kök CA, herkese açık olmayan SSL sertifikaları vermek için kullanılacaktır. Tarayıcıların/kök depo operatörlerinin, bu kökü kendi kök depolarından kaldırmaları/güvenmelerini kaldırmaları teşvik edilir."
Symantec ayrıca notlar bir destek sayfasında, kök sertifikanın durdurulmasının ve bunun zamanlamasının "CA/Tarayıcı Forumu Temel gereksinimlerine dayanan sektördeki en iyi uygulamalarla uyumlu" olduğu belirtildi.
Endüstrinin 2.048 bitlik anahtarları standart haline getirmesi yavaş oldu ve birçok kişi 1.024 bitlik anahtarların kalıcılığı konusunda CA'ları suçladı.
Google kendi payına 2013'te yaptırımların sıkılaştırılması çağrısında bulunuldu CA/Tarayıcı forumunun halka açık olarak güvenilen sertifikalar ve kendi Sertifika Şeffaflığı girişimiyle uyumluluk için temel gereksinimleri.
Eşit Sertifikalarla ilgili SSS bölümünde Symantec notları 1.024 bit anahtarlarla "2013'ün sonunda tüm web tarayıcıları ve Sertifika Yetkilileri (CA'lar) artık 1.024 bit RSA sertifikalarını satmayacak veya desteklemeyecek".
Symantec'in açıklamasındaki hafif savunmacı üslup, Google alan adları için yanlış verilmiş 'test' sertifikaları konusunda Google ile yakın zamanda yaşadığı anlaşmazlıktan kaynaklanıyor olabilir. Symantec, hata nedeniyle bazı personelini işten çıkardı, ancak Google daha sonra verdiği yanıttan memnun kalmadı. Symantec tarafından verilen tüm sertifikalara ihtiyaç duyacağını duyurdu 1 Haziran 2016'ya kadar Sertifika Şeffaflığını desteklemek.