SSL-сертификаты от Symantec выпали из доверия браузеров

Not Secure SSL - Not Secure HTTPS


Через несколько месяцев SSL-сертификаты, выпущенные компанией Symantec, перестанут приниматься браузерами Chrome. Но до марта 2018 г. владельцы сайтов еще успевают обзавестись легитимным сертификатом!


Даже у компаний, разменявших четверть века в бизнесе ИТ-безопасности, бывают досадные промахи. Отказ в доверии SSL-сертификатам, выпущенным Symantec до 1 июня 2016 года, корпорация Google запланировала на март 2018 года, когда будет выпущена бета-версия браузера Chrome 66 (стабильный релиз намечен на апрель 2018 г.). Надо готовиться к тому, что сайты, использующие сертификаты от Symantec, в самом обозримом будущем вообще будут блокироваться не только Google Chrome, но и браузерами Firefox.


Подробный план постепенного отказа в доверии SSL-сертификатам, выпущенным еще до самых недавних пор одним из крупнейших мировых операторов сертификации, корпорация Google опубликовала в середине сентября 2017 г.


Стоит учесть, что в число брендов, имеющих непосредственное отношение к Symantec, входят еще и сертификаты Thawte, VeriSign, Equifax, GeoTrust и RapidSSL, и их ожидает та же печальная участь.


За что же их так? Мнения экспертов, как часто бывает, разнятся в деталях, но едины в одном: Symantec ведет нечестную игру. В контексте SSL-сертификации и сетевой безопасности в целом это довольно серьезно. Еще в 2015 году и без того громкое имя Symantec прогремело по всему миру в свете расследования инцидентов с сертификатами, выданными с нарушениями: 187 сертификатов на существующие домены были выданы без ведома владельцев, плюс – были выпущены 2458 сертификатов на несуществующие домены. Естественно, что Google ввела ответные меры против нарушителя и потребовала принять ряд мер по усилению безопасности (в частности, аудита выпущенных сертификатов, поддержки новыми сертификатами фреймворка Certificate Transparency и др.). Спустя некоторое время Google снова обратила внимание на Symantec, выявила не только отсутствие «работы над ошибками», но и новые нарушения, и вынесла соответствующий вердикт: в доверии отказать, статус Extended Validation отозвать. Сертификаты EV оказались особенно болезненной темой в процессе разбирательства: формат сертификата этого уровня требует тщательной верификации владельца домена, включая физическое присутствие. Тем не менее, результаты проверки Google показали, что Symantec не всегда соблюдала прописанную процедуру, наряду с другими, достаточно серьезными, нарушениями политики безопасности и установленных стандартов сервиса.


В свете этих событий понятно, что доверие к сертификатам Symantec и связанным с ней УЦ, Google утратил. Но Chrome – не единственный браузер в сети, естественно. И по традиции, Mozilla также заявила об утрате доверия к сертификатам Symantec, начиная с декабря 2017 года и завершая полным отказом в Firefox 63 или Firefox 64 (соответственно, середина октября 2018 г. или конец ноября 2018 г.). Однако, по замечаниям многих экспертов, фактический старт отказа Mozilla произойдет все-таки весной 2018 года: то есть, почти синхронно с Google.


Стоит напомнить в этой связи, что аналогичная ситуация произошла с сертификатами WoSign и StartCom: Google отказала им полностью в доверии с версии Chrome 61,  а Mozilla – с  версии Firefox 51.


Что ожидает Symantec? Вероятнее всего – реструктуризация процесса выпуска сертификатов, передача прав другой организации, либо отказ от выпуска корневых сертификатов. Ближайшее будущее покажет. В любом случае, «его пример – другим наука». И не забывайте о безопасности своих ресурсов, заказывайте SSL-сертификаты у проверенных компаний. Специалисты компании SIM-Networks помогут подобрать лучший вариант для вас – обращайтесь!



По материалам:

security.googleblog.com

www.linux.org.ru

www.searchengines.ru


Автор: Алиса Кандеева

Понравилась статья? Поделитесь ею в социальных сетях!