Google znowu traci zaufanie do certyfikatów Symanteca

Zdaniem Google’a, certyfikaty Symanteca nie spełniają odpowiednich standardów. Co ciekawe, identyczna sytuacja była przed rokiem. Wtedy Google oświadczyło, że 30 tysięcy certyfikatów zostało wydanych w niewłaściwy sposób. Symantec odpowiadał, że zarzuty są przesadzone, a problem wyolbrzymiony, bo miał dotyczyć tylko ponad 100 przypadków. Jak sprawa wygląda teraz?
malware - ilustracja
malware - ilustracja

Konsekwencje uznania certyfikatów za niezaufane w Google Chrome są znaczące przede wszystkim dla firm, które wykorzystują je do udostępniania szyfrowanych (https) wersji swoich witryn internetowych. Internauci, odwiedzając stronę, której certyfikat nie jest zaufany, zamiast treści widzą komunikat jak poniżej.

Chrome, certyfikaty, efekt
Komunikat związany z niewłaściwym certyfikatem

Powyższa ilustracja pokazuje błąd związany z przekroczeniem okresu ważności, natomiast zgodnie z wpisem na blogu Google Security, w przypadku trafienia na witrynę z niezaufanym certyfikatem wystawionym przez instytucję należącą do Symanteca treść komunikatu powinna być następująca:

NET: ERR_CERT_SYMANTEC_LEGACY

Zarządzający stronami korzystającymi z certyfikatów Thawte, Verisign, Equifax, GeoTrust I RapidSSL wystawionymi przed 1 czerwca 2016 roku mają czas na wprowadzenie zmian do 15 marca. Takie strony nie będą działały pod Google Chrome 66 i w kolejnych wydaniach. Natomiast od wersji Chrome 70 (planowane wydanie wersji Canary to 20 lipca, a wersji stabilnej 16 października) i w późniejszych wersjach – dotychczasowe certyfikaty Symanteca będą blokowane niezależnie od daty wystawienia.

Test certyfikatu Allegro w narzędziu Symanteca
Narzędzie Symanteca do sprawdzania certyfikatów

Na stronie Symanteca jest narzędzie pozwalające sprawdzić, czy ich certyfikat jest właściwy i czy nie wymaga wymiany. Więcej informacji można znaleźć w notce opublikowanej na Google Security Blog. | CHIP