Это решения стало реакцией на расследование теневых методов выдачи SSL сертификатов Symantec, инициированное Google и Mozilla.
В прошлом году исследователи обнаружили, что компания Symantec многократно нарушила отраслевые правила, принятые уполномоченной организацией (CA/B Forum), которая регулирует процедуры выдачи SSL-сертификатов для поддержки зашифрованного трафика HTTPS.
Symantec наказана за злоупотребления при выдаче 30 000 SSL сертификатов
В марте 2017 года инженеры Google и Mozilla обнаружили, что Symantec допустила нарушения при выдаче 127 сертификатов SSL, но по мере продвижения расследования эта первоначальная оценка выросла до колоссальной цифры в более 30 000 сертификатов.
Данный масштаб шокировал экспертов отрасли. Поскольку Symantec был одним из крупнейших удостоверяющих центров на рынке, немногие осмелились публично отреагировать. Первым, кто проявил недовольство процедурами выдачи SSL-сертификатов Symantec, стал Google, который через несколько дней после получения окончательных цифр объявил о намерении постепенно удалить поддержку сертификатов Symantec в Chrome.
Хотя Mozilla, Microsoft или Apple никогда не высказывались о проблеме Symantec, они также были недовольны работой удостоверяющего центра, но позволили Google возглавить расследование, которое длилось несколько месяцев.
Компания Symantec отрицала любые нарушения, назвав результаты “преувеличенными и вводящими в заблуждение”. Тем не менее, компания была вынуждена сесть за стол переговоров.
Google и Symantec получили то, что хотели
Результаты переговоров оказались довольно запутанными - каждая сторона может объявить себя победителем. Google объявляет о блокировке Symantec, в то время как Symantec может продолжить выдавать сертификаты под своим именем.
Ниже приводится примерный сценарий того, что произойдет в течение следующих нескольких месяцев.
1 Этап. Symantec становится агентом другого удостоверяющего центра
После 1 декабря 2017 года Symantec начнет сотрудничество с другим удостоверяющим центром и будет выдавать сертификаты SSL под своим именем. С технической стороны Symantec будет выполнять роль подчиненного УЦ или Subordinate Certificate Authority (SubCA).
Google предложил данное решение этой весной, Symantec признал его в июне и одобрил в середине июля.
Этот шаг имеет решающее значение для выживания Symantec в качестве действительного центра сертификации, поскольку он позволит компании вести бизнес и выдавать новые сертификаты SSL в ближайшем будущем, сохраняя при этом своих клиентов.
Google также удовлетворен тем, что Symantec становится SubCA, поскольку УЦ, который принимает Symantec под своим крылом, будет нести ответственность за выдачу сертификатов SSL. Google и другие поставщики браузеров надеются, что, передача процесса выдачи SSL в инфраструктуру другого центра сертификации позволит предотвратить попытки нарушения Symantec утвержденных правил и случаи выдачи сертификатов неподходящим сайтам.
В то же время Symantec может незаметно подготовить новую инфраструктуру для создания своего нового бизнеса SSL. Компания начала изучать идею продажи своего бизнеса сертификации, поэтому есть шанс, что Symantec вернется с большим объемом инвестиций.
2 Этап. Частичное недоверие к сертификатам Symantec в Chrome
Второй этап начнется, когда Google выпустит Chrome 66 (предположительно, апрель 2018 года). Запустив эту версию, Chrome будет отображать ошибку для всех сертификатов Symantec, выпущенных до 1 июня 2016 года.
К 2018 году срок действия большинства этих сертификатов истечет, поэтому Google и Symantec смогут постепенно перейти к 3 этапу.
3 Этап. Полное недоверие к сертификатам Symantec в Chrome
С выпуском Chrome 70 (запланированным ориентировочно на октябрь 2018 года) Chrome будет отображать ошибки для всех сайтов с сертификатами Symantec SSL, выпущенными на старой инфраструктуре до 1 декабря 2017 года.
Этот этап представляет настоящую катастрофу для SSL сертификатов компании Symantec, которая согласно статистике, выдала каждый шестой SSL сертификат в Интернете.
Владельцам веб-сайтов и другим разработчикам, использующим сертификаты Symantec SSL внутри своего приложения, придется обратиться к Symantec за новым сертификатом SSL (выпущенным через партнера SubCA) или вообще связаться с другим поставщиком цифровых сертификатов.
Затронуты сертификаты GeoTrust, Thawte и RapidSSL
В скором времени Google удалит из Chrome корневой сертификат Symantec. SSL-сертификаты образно похожи на гигантские деревья с бесчисленными ветвями, которые сходятся к корневому сертификату. После удаления этого сертификата все сертификаты, прикрепленные к этому корню, также перестанут работать.
Google удалит текущий корневой сертификат Symantec, но оставит возможность для внедрения нового корневого сертификата, который Symantec утвердит в будущем.
Кроме того, поскольку Symantec покупала другие центры сертификации, такие как GeoTrust, Thawte и RapidSSL, корневые сертификаты этих бывших компаний были добавлены в корневой каталог Symantec. Сертификаты, выпущенные в рамках этих трех центров сертификации, постигнет та же участь, что и родные сертификаты Symantec SSL. Аналогично, веб-мастерам и разработчикам придется запрашивать новые сертификаты.
До тех пор, пока Symantec не пересмотрит свои процедуры выдачи SSL и не получит более надежную систему, маловероятно, что Google снова разрешит новый корневой сертификат Symantec в Chrome. В то же время опция SubCA позволяет Symantec продолжать поддерживать свой бренд, даже работая с чужим корневым сертификатом.
В прошлом году Google прекратила доверие к сертификатам WoSign и StartCom за аналогичные проблемы.
По материалам BleepingComputer
Угрозы безопасности
• Основные киберугрозы 2024 года в России: утечки данных, вымогатели и фишинг
• Обнаружен скрытый руткит Pumakit для Linux. Он может использоваться в таргетированных атаках
• Уязвимость OpenWrt Sysupgrade позволяет распространять вредоносные образы прошивки. Обновите свои устройства
• Хакеры используют драйвер Avast Anti-Rootkit для отключения антивирусов
• Системы Ubuntu затронуты уязвимостью «needrestart», которая позволяет получить root-привилегии
• Фейковые ИИ-генераторы видео заражают Windows и macOS вредоносным ПО