Създателите на браузъра Google Chrome обявиха плана си за постепенния отказ на доверие и от преиздаване на старите сертификати Symantec SSL, за отмяната на EV статуса, както и за намаляване срока на действие на бъдещите сертификати под 9 месеца. Всичко това е резултат от разследване на инцидентите със сертификати, издадени без разрешението на собствениците, както и заради действащите практики в тази компания.
Разследването на Google продължи два месеца – от януари до март тази година. Разкрити бяха много нарушения при издаването на сертификатите. А и още се помни историята от 2015 година, когато Symantec самоволно издаде сертификат за домейните на Google, Opera и други организации. Тогава Symantec уволни доста хора.
Но сегашният одит разкри 187 сертификата за съществуващи домейни, издадени без знанието на собствениците на тази домейни. Има и още – 2458 сертификата са издадени за несъществуващи домейни.
Стана пределно ясно, че безопасността в Symantec е на съвсем ниско ниво. Google поиска изпълнението на редица мерки, провеждане на допълнителен одит, редовни публикации на отчети по инцидентите, привличане на независими одитори.
Резултатите от разследването Google формулира по следния начин: „Повече не сме сигурни в правилата и практиките за издаване на сертификати от Symantec. За да възстановим безопасността и увереността на нашите потребители предлагаме следните стъпки„:
- Намаляване срока на действие на новите сертификати на Symantec до 9 и по-малко месеца
- Постепенно отказване от доверието в тези сертификати в следващите версии на Google Chrome
- Отказ от признаването на EV (Extended Validation) за сертификатите на Symantec, докато обществото не се убеди в добрите практики и новите правила в Symantec
Постепенното съкращаване на срока на действие на вече издадените сертификати ще стане по следния начин:
- Chrome 59 (Dev, Beta, Stable): 33 месеца (1023 дни)
- Chrome 60 (Dev, Beta, Stable): 27 месеца (837 дни)
- Chrome 61 (Dev, Beta, Stable): 21 месеца (651 дни)
- Chrome 62 (Dev, Beta, Stable): 15 месеца (465 дни)
- Chrome 63 (Dev, Beta): 9 месеца (279 дни)
- Chrome 63 (Stable): 15 месеца (465 дни)
- Chrome 64 (Dev, Beta, Stable): 9 месеца (279 дни)
Да си припомним, че от 2015 година работи центърът за безплатна автоматична сертификация Let’s Encrypt, чийто дял към днешен ден е 0,1%.
