Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.
/ Flickr / Yuri Samoilov / CC
Почему продали
При работе с SSL-сертификатами, центры сертификации (CA – certification authority) придерживаются регламента, утвержденного консорциумом CA/Browser Forum, объединяющим разработчиков браузеров, операционных систем и PKI-приложений и корневые сертификационные центры. А весной прошлого года компания Google обвинила Symantec в несоблюдении этого регламента при выдаче сертификатов юридическим лицам.
Претензии касались сертификатов с расширенной проверкой, так называемых EV-сертификатов (Extended Validation). Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции. Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.
Согласно исследованию, проведенному основателем SSLMat Эндрю Айером (Andrew Ayer), выданы с нарушениями были порядка ста сертификатов. В ответ на это в Google инициировали процесс прекращения доверия к сертификатам Symantec. Инициативу поддержала и компания Mozilla.
Чтобы решить проблему с доверием, Symantec нужно было обновить миллионы сертификатов клиентов и провести повторную оценку личности владельцев веб-ресурсов. Этот процесс потребовал бы слишком большого количества времени и денег, поэтому компания решила продать свой CA-бизнес DigiCert – стоимость сделки составила 950 миллионов долларов.
Процедура прекращения доверия
Процедура прекращения доверия начнется 15 марта этого года – во время выхода бета-версии Chrome 66. В этот момент браузер перестанет доверять сертификатам, которые Symantec выдали до 1 июня 2016 года с помощью старой инфраструктуры.
А уже 23 декабря 2018 года, когда выйдет Chrome 70, поддержка сертификатов Symantec прекратится совсем. Процесс пойдет в несколько этапов, так как в компании Google прислушались к просьбам ИТ-сообщества дать время на перевыпуск сертификатов.
Отметим, что утрата доверия затронет и сертификаты CA, связанных с корневым сертификатом Symantec SSL-цепочкой – это GeoTrust, Thawte и RapidSSL. Прекращают работу с сертификатами Symantec (выданными с использованием старой инфраструктуры) и реселлеры SSL-сертификатов, в том числе и компания 1cloud.
Как это скажется на пользователях
С первого декабря 2017 года DigiCert уже выпускает сертификаты Symantec на базе новой инфраструктуры, которые Google не считает «опасными». С этими сертификатами работаем и мы в 1cloud.
«По сути линейка сертификатов не изменилась. Мы продолжаем их продажу», – комментирует начальник отдела развития проекта 1cloud Сергей Белкин.Как отмечают в компании Symantec, специалисты DigiCert хорошо подготовлены и смогут достойно адаптировать бизнес-процессы и принять клиентов. Инфраструктура компании способна поддерживать миллиарды сертификатов и обладает широким потенциалом для масштабирования.
Бывший руководитель проектов Microsoft Cryptographic Ecosystem Джоди Клаутьер (Jody Cloutier) говорит, что новое приобретение DigiCert только увеличит инвестиции в развитие продуктов и платформ компании.
При этом клиенты Symantec могут заказывать сертификаты точно так же, как делали до этого, и использовать те же самые инструменты управления: контакты технической поддержки, номера контрактов, бренды и сроки достоверности остаются прежними.
Однако сертификаты, подпадающие под ограничения компании Google и Mozilla, все же необходимо заменить. Представители DigiCert уверяют, что замена будет производиться бесплатно в удобное для пользователей время. Все клиенты, которым необходимо обновить сертификат, получат напоминание и руководство с последовательностью действий. Однако они всегда могут обратиться в поддержку самостоятельно и получить индивидуальную консультацию.
Продажа новых сертификатов будет осуществляться на стандартных условиях компании DigiCert. Дополнительную информацию об услугах по выдаче SSL вы можете найти на официальном сайте.
Как быть владельцам Symantec-сертификатов
Если сертификат «попадает под замену», его необходимо перевыпустить, чтобы посетителей вашего сайта не смущали оповещения Google о незащищенности ресурса. Мы предлагаем следовать этим правилам:
- Если ваш SSL-сертификат куплен до 1 июня 2016 года, а срок его действия заканчивается после 14 марта 2018 года, то перевыпустить сертификат нужно до середины марта. В этот период выходит Chrome 66, и его пользователи будут получать уведомления от Google о небезопасности вашего ресурса.
- Если сертификат выдан в период с 1 июня 2016 года по 1 декабря 2017 года, то его нужно перевыпустить до 13 сентября 2018 года, то есть до выхода беты Chrome 70. Отметим, что если вы перевыпускали сертификат до 1 декабря прошлого года, вам придется заменить его повторно.
- Сертификаты, приобретенные уже после 1 декабря 2017 года, менять не требуется. Однако мы все же советуем следить за новостями в этой области, на случай возникновения непредвиденных обстоятельств.
Комментариев нет:
Отправить комментарий