Задължително преиздаване на всички SSL сертификати на Symantec. Защо се случва това?

Задължително преиздаване на всички SSL сертификати на Symantec. Защо се случва това?

През март екипът на Google Chrome обяви, че компанията занимаваща се с интернет сигурност Symantec нарушава стандартите за издаване на SSL сертификати. Като резултат от това сайтове използващи сертификати издадени от Symantec ще започнат да се показват като ненадеждни, като това са над 70% от всички издадени и използващи се SSL сертификати. Промяната ще засегне всички брандове управлявани от Symantec - GeoTrust, Thawte, RapidSSL, Symantec. Google Chrome и Symantec, заедно с други членове на PKI общността обсъдиха този въпрос и в края на месец юли 2017 Chrome и Symantec обявиха окончателния си план за действие. Той включва промяна на root сертификатите при издаването на SSL сертификатите и преиздаване на всички съществуващи SSL сертификати на Symantec(Verisign).

Защо се случва това?

В резултат на нарушенията на стандартите Google Chrome реши, че текущите root сертификати, които удостоверяват Symantec като авторитетен SSL издател/vendor, трябва да бъдат преосмислени. T.e проблема, който от Google откриват, всъщност е че Symantex не прави пълна валидация при заявка на сертификат и допуска използване на невярна информация.

На практика няма реален дефект със сертификата и опасност за интернет потребителите, които влизат в тези сайтове. Тези уеб страници ще продължат да бъдат също толкова надеждни и ще криптират информацията, която преминава през тях. Но Google използва този случай, за да докаже, че всички сертификати на Symantec вече са подозрителни. Според thesslstore.com това е преувеличена реакция, но отчитат като положителна страна факта, че целият процес няма да навреди по никакъв начин на собствениците на тези сертификати и техния онлайн бизнес.

Влизане в сила на промените:

Генералните промени ще влязат в сила едва през 2018г. Също така преиздаването на сертификатите ще бъде напълно безплатно и с минимално прекъсване. Тази промяна ще има положителен ефект за всички потребители на сертификатите на Symantec, тъй като ще поправи открития дефект и ще се показва правилна информация за издателя на сертификата на интернет потребителите при използването на даден сайт.

До 1 декември 2017 няма да има възможност за преиздаване на валидни SSL сертификати на Symantec. Планът предвижда след тази дата да стартира преиздаването им през новата система.

Важно за всички клиенти на хостинг компания ICN.Bg:

Това преиздаване от наша страна ще става безболезнено за клиентите, които ползват услугата SSL на споделен хостинг или на другите услуги управлявани от нас. За издадени SSL сертификати, които се използват на хостинг услуги, чиито управление не се контролира от хостинг доставчика, то ще е нужна намеса на администратора, управляващ услугата. ICN.Bg в срок до април 2018 г. ще преиздаде всички сертификати, до които имаме достъп, като за промяната ще бъдете уведомени по имейл. Ако сте закупили сертификата си на Symantec от друг доставчик, се консултирайте с него за това как ще бъде преиздаден вашия сертификат!

Ето всичко, което трябва да знаете за бъдещата промяна:

Кой трябва да се интересува от промяната?

Тя ще засегне всички ползватели на сертификатите на Symantec, които използват техните продукти, за да защитават ефективно своите сайтове и потребители от кибер атаки, целящи кражба на лични данни, „подслушване“ на пароли и кредитна информация. SSL брандовете собственост и управлявани от Symantec, които ще бъдат засегнати от тази промяна, са:

  • Symantec
  • GeoTrust
  • Thawte
  • RapidSSL

Тази промяна ще засегне единствено собствениците и администраторите на сайтовете, които използват тези брандове SSL сертификати! Няма да бъдат засегнати интернет потребителите и те няма да усетят разлика при браузването в даден сайт (освен ако се изпуснат сроковете за преиздаване на даден сертификат – тогава те ще видят съобщение за проблем с него).

Как ще се извърши промяната във времето?

Отразяването ще се извърши на два етапа. През първия ще бъдат засегнати сертификатите на Symantec, които са били издадени преди 1 юни 2016г. Ако тези сертификати не са преиздадени преди средата на август 2018, когато се очаква да излезе 66 версия на браузъра Chrome, те няма да се отчитат като надеждни и сайтовете ще се показват като несигурни. Това означава, че потребителите на Chrome 66+ няма да могат да направят HTTPS връзка със сайта и ще получат предупреждение за проблем със сертификата.

Вторият етап ще засегне всички сертификати на Symantec, издадени след 1 юни 2016г до момента на промяната, включително и тези, които все още не са издадени. Този етап ще започне с пускането на Chrome 70 (очаквано в края на октомври 2018 г.). Всички сертификати на Symantec, ще се показват като ненадеждни след тази дата, ако не се предприеме правилно действие.

Промяната ще се отрази за браузъра Chrome, но се очаква Mozilla и другите уеб браузъри да предприемат подобен ход на действие, като засега те не се ангажират с окончателен план.

Как ще се издават сертификатите на Symantec в бъдеще?

Първоначално Symantec ще се сдружи с друг авторитетен издател (CA), който ще издава сертификати от името на Symantec от началото на декември 2017г. Този партньор ще продължи да се занимава с издаването на сертификати, докато Symantec предоставя новите си root сертификати на браузърите. Това ще позволи на Symantec без прекъсване да издава надеждни сертификати в рамките на всички обявени промени в Chrome. В дългосрочен план това ще помогне на vendor-a да ъпгрейдне своите root сертификати, с което той ще започне сам да издава сертификатите си.

Целият процес по дати и как да се подготвите за всяка една промяна:

24 октомври 2017 г. / Версия 62 на Chrome / При нея ще се покаже съобщение в Developer tools (В българската версия: “Инструменти за програмисти“), за да се идентифицират сертификатите, които ще бъдат засегнати от промяната. Посетете уебсайтовете си с отворения панел „Инструменти за програмисти“ или влезте в сайта и натиснете клавиш F12 или Fn+F12 (в зависимост от настройките на вашата клавиатура), това ще визуализира конзола с цялата информация за сайта. Това ще ви позволи да определите дали вашия уеб сайт ще бъде засегнат от промяната.

1 декември 2017 г. / Партниращият сертифициращият орган (CA) ще започне да издава сертификати от името на Symantec. От техническа гледна точка, тази дата е важна, защото отбелязва началото на "новите" сертификати на Symantec и стартира преиздаването на валидни сертификати за всички сайтове, използващи Symantec. Сертификатите издавани след тази дата ще имат правилните root сертификати и няма да бъдат отчитани като ненадеждни.

Април 2018 г. / Версия 66 на Chrome / Всички сертификати на Symantec, издадени преди 1 юни 2016 г., ще се отчитат като ненадеждни от Chrome. Сертификати, които са издадени след 1 юни 2016г. за този момент няма да бъдат засегнати до октомври 2018.

До април 2018г. заменете всички сертификати на Symantec, издадени преди 1 юни 2016 г. От ICN.Bg ще извършим преиздаването автоматично и напълно безплатно за нашите клиенти за сертификатите, които ние управляваме. Ще се свържем с потребителите, които са закупили сертификати на Symantec от нас, но до които нямаме достъп, за да може и техните сертификати да бъдат подменени.

Ако вашият сертификат изтича в този период (март-април 2018), можете да подновите сертификата си вместо да го преиздадете, като по този начин ще използвате новите правила за издаване на сертификатите.

Октомври 2018 / Версия 70 на Chrome / Всички сертификати, издадени от Symantec с тяхната съществуваща инфраструктура, ще се отчитат като ненадеждни от Chrome. Трябва да направите преиздаване преди тази дата, ако вашият хостинг провайдър не се е погрижил за това. От ICN.Bg ще извършим това автоматично и безплатно за вас още през първия етап на процеса.

От хостинг компания ICN.Bg искаме да уверим нашите клиенти, че този преходен период няма да се отрази негативно на сайтовете им. Преиздаването на сертификатите, до които ние имаме достъп и управляваме, ще бъде извършено в срок до април 2018 година. За промяната ще бъдете уведомени по имейл. Можете да разчитатане на нас да ви държим в течение с всички важни особености за промяната, които ще възникнат в бъдеще.

Източник: thesslstore

Етикети: #symantec #ssl #hosting #site #ssl-certificate