DigiCert купили Symantec Website Security: последствия для пользователей SSL/TLS-сертификатов

Весной прошлого года в Google заметили, что компания Symantec предоставила возможность выдавать сертификаты минимум четырем организациями, однако не смогла обеспечить необходимый уровень наблюдения за их деятельностью и соблюдением стандартов обслуживания. В результате компания Google инициировала «процедуру прекращения доверия» к Symantec-сертификатам.

Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.

auqiuh4bdtq69pqfjaxq7eeqory.jpeg
/ Flickr / Yuri Samoilov / CC

Почему продали


При работе с SSL-сертификатами, центры сертификации (CA — certification authority) придерживаются регламента, утвержденного консорциумом CA/Browser Forum, объединяющим разработчиков браузеров, операционных систем и PKI-приложений и корневые сертификационные центры. А весной прошлого года компания Google обвинила Symantec в несоблюдении этого регламента при выдаче сертификатов юридическим лицам.

Претензии касались сертификатов с расширенной проверкой, так называемых EV-сертификатов (Extended Validation). Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции. Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.

Согласно исследованию, проведенному основателем SSLMat Эндрю Айером (Andrew Ayer), выданы с нарушениями были порядка ста сертификатов. В ответ на это в Google инициировали процесс прекращения доверия к сертификатам Symantec. Инициативу поддержала и компания Mozilla.

Чтобы решить проблему с доверием, Symantec нужно было обновить миллионы сертификатов клиентов и провести повторную оценку личности владельцев веб-ресурсов. Этот процесс потребовал бы слишком большого количества времени и денег, поэтому компания решила продать свой CA-бизнес DigiCert — стоимость сделки составила 950 миллионов долларов.

Процедура прекращения доверия


Процедура прекращения доверия начнется 15 марта этого года — во время выхода бета-версии Chrome 66. В этот момент браузер перестанет доверять сертификатам, которые Symantec выдали до 1 июня 2016 года с помощью старой инфраструктуры.

А уже 23 декабря 2018 года, когда выйдет Chrome 70, поддержка сертификатов Symantec прекратится совсем. Процесс пойдет в несколько этапов, так как в компании Google прислушались к просьбам ИТ-сообщества дать время на перевыпуск сертификатов.

Отметим, что утрата доверия затронет и сертификаты CA, связанных с корневым сертификатом Symantec SSL-цепочкой — это GeoTrust, Thawte и RapidSSL. Прекращают работу с сертификатами Symantec (выданными с использованием старой инфраструктуры) и реселлеры SSL-сертификатов, в том числе и компания 1cloud.

Как это скажется на пользователях


С первого декабря 2017 года DigiCert уже выпускает сертификаты Symantec на базе новой инфраструктуры, которые Google не считает «опасными». С этими сертификатами работаем и мы в 1cloud.

«По сути линейка сертификатов не изменилась. Мы продолжаем их продажу», — комментирует начальник отдела развития проекта 1cloud Сергей Белкин.

Как отмечают в компании Symantec, специалисты DigiCert хорошо подготовлены и смогут достойно адаптировать бизнес-процессы и принять клиентов. Инфраструктура компании способна поддерживать миллиарды сертификатов и обладает широким потенциалом для масштабирования.

Бывший руководитель проектов Microsoft Cryptographic Ecosystem Джоди Клаутьер (Jody Cloutier) говорит, что новое приобретение DigiCert только увеличит инвестиции в развитие продуктов и платформ компании.

При этом клиенты Symantec могут заказывать сертификаты точно так же, как делали до этого, и использовать те же самые инструменты управления: контакты технической поддержки, номера контрактов, бренды и сроки достоверности остаются прежними.

Однако сертификаты, подпадающие под ограничения компании Google и Mozilla, все же необходимо заменить. Представители DigiCert уверяют, что замена будет производиться бесплатно в удобное для пользователей время. Все клиенты, которым необходимо обновить сертификат, получат напоминание и руководство с последовательностью действий. Однако они всегда могут обратиться в поддержку самостоятельно и получить индивидуальную консультацию.

Продажа новых сертификатов будет осуществляться на стандартных условиях компании DigiCert. Дополнительную информацию об услугах по выдаче SSL вы можете найти на официальном сайте.

Как быть владельцам Symantec-сертификатов


Если сертификат «попадает под замену», его необходимо перевыпустить, чтобы посетителей вашего сайта не смущали оповещения Google о незащищенности ресурса. Мы предлагаем следовать этим правилам:

  1. Если ваш SSL-сертификат куплен до 1 июня 2016 года, а срок его действия заканчивается после 14 марта 2018 года, то перевыпустить сертификат нужно до середины марта. В этот период выходит Chrome 66, и его пользователи будут получать уведомления от Google о небезопасности вашего ресурса.
  2. Если сертификат выдан в период с 1 июня 2016 года по 1 декабря 2017 года, то его нужно перевыпустить до 13 сентября 2018 года, то есть до выхода беты Chrome 70. Отметим, что если вы перевыпускали сертификат до 1 декабря прошлого года, вам придется заменить его повторно.
  3. Сертификаты, приобретенные уже после 1 декабря 2017 года, менять не требуется. Однако мы все же советуем следить за новостями в этой области, на случай возникновения непредвиденных обстоятельств.


Несколько постов по теме из блога 1cloud:

  • Как узнать, из чего состоит SSL-сертификат?
  • Зачем нужны цепочки SSL-сертификатов
  • Область покрытия SSL-сертификатов

© Habrahabr.ru