Symantec jest jednym z największych i najbardziej zaufanych dostawców certyfikatów SSL. Sprzedaje certyfikaty zarówno pod swoją główną marką, jak również jako GeoTrust, RapidSSL czy Thawte.

W roku 2017 nad Symantec pojawiły się chmury wywołane przez Google. Konflikt zostanie rozwiązany bez żadnej szkody dla klientów, wyjaśniamy natomiast jak on wygląda i jakie czynności należy wykonać, jeśli posiadamy certyfikat SSL wydany przez tę firmę.

Narastający konflikt

SSL-How-it-works

Od marca 2017 roku trwał konflikt między Symantec a Google związany z naruszeniem przez Symantec procedur związanych z wydawaniem certyfikatów SSL. Według Google, pewna liczba certyfikatów SSL została wystawiona dla błędnych nazw domen oraz na rzecz nieuprawnionych podmiotów.

Pierwsze sygnały pojawiły się w 2015 roku. Rok później, niezależni badacze odkryli całą serię certyfikatów SSL nieprawidłowo wydanych przez Symantec. W tym momencie Google (oraz inne podmioty) uznały, że Symantec ma problemy z zapewnieniem bezpieczeństwa swojej infrastruktury oraz procesów. Po dodatkowej weryfikacji, winni okazali się partnerzy Symantec, którzy otrzymali zbyt szerokie uprawnienia i nie zapewnili standardów obowiązujących w branży.

Każda ze stron przedstawiała wyłącznie swoje racje. Symantec punktował, iż wydane nieprawidłowo certyfikaty były wyłącznie testowe i nigdy nie zostały upublicznione. Żadna szkoda w realnym świecie się z tego powodu nie wydarzyła.

Jednakże Google (a także Mozilla i inne organizacje włączone w dyskusję) potraktowały to bardzo poważnie. Niezależnie od okoliczności, nieprawidłowe wydanie certyfikatów SSL nie powinno mieć w ogóle miejsca.

Google grozi palcem

Dla Google było to wystarczającym powodem aby zagrozić zmniejszeniem poziomu zaufania dla certyfikatów Symantec w przeglądarce Chrome. Tymczasowo usunięto wyświetlanie tzw. zielonego paska dla certyfikatów EV. Zagrożono całkowitym wycofaniem zaufania dla wszystkich certyfikatów wydanych przez Symantec.

Warto zauważyć że Chrome ma około 75% udziału w rynku przeglądarek internetowych, co oznacza, że Google może realnie wyznaczać standardy i decydować, kto nadal gra na rynku, a kto musi ustąpić miejsca innym. Z całą pewnością zbyt duża kontrola jednej firmy nad różnymi aspektami związanymi z Internetem nie jest korzystna.

Pojawiło się w sieci wiele teorii, na ile przewinienie Symantec było rzeczywiście poważne i czy narażało kogokolwiek na negatywne skutki. Zbiegło się to też w czasie z uruchomieniem Google własnej infrastruktury Certificate of Authority. Jeśli Google zacząłby oferować własne certyfikaty SSL, a dodatkowo je promować we własnej przeglądarce Chrome, byłoby to bardzo nieczystym zagraniem konkurencyjnym wobec innych dostawców. Czy więc była to próba usunięcia firmy Symantec z rynku certyfikatów SSL? To według nas zbyt daleko idąca teoria spiskowa, biorąc pod uwagę to, że inni dostawcy (jak np. Comodo) nie mieli wysuwanych zarzutów przez Google.

Symantec oraz Google co jakiś czas wydawały sprzeczne oświadczenia, przerzucając winę na siebie nawzajem. Google wydało harmonogram, kiedy przestanie całkowicie ufać Symantec. Można stwierdzić, że potencjalna kara była zbyt surowa w stosunku do przewinienia, jednakże jest to dobry przykład dla całego ekosystemu i na pewno spowoduje wzrost bezpieczeństwa związanego z procesami wydawania certyfikatów SSL u wszystkich wystawców.

Porozumienie między Google a Symantec

neon-ssl-symantec

W końcu jednak osiągnięto porozumienie. W dniu 2 sierpnia 2017 roku ogłoszono, iż firma DigiCert przejmie część biznesu firmy Symantec odpowiedzialną za produkty kryptograficzne (m.in. certyfikaty SSL) za kwotę 950 milionów dolarów oraz 30% udziału w akcjach DigiCert.

DigiCert do tej pory nie była dużym graczem na rynku certyfikatów SSL, posiadając 2,2% udziału w rynku, w porównaniu do 14% udziału grupy Symantec (dane wg raportu W3Techs). Po przejęciu marki Symantec, firma wzrośnie kilkukrotnie.

Google zgodziło się dalej ufać certyfikatom wydanym przez Symantec przez pewien czas, o którym piszemy dalej. Nowe, oraz ponownie wydawane certyfikaty, będą jednak podpisane przez CA (Certificate of Authority) należące do DigiCert, a nie Verisign (przejęty wcześniej przez Symantec). Pod tym najwyższym poziomem CA znajdą się nam dobrze znane marki typu Symantec, GeoTrust, RapidSSL.

Oznacza to smutny koniec dla CA Verisign, który przestanie być używany z końcem bieżącego roku.

Co oznacza zmiana dla użytkowników certyfikatów SSL?

Według nas, ta zmiana to świetna wiadomość! DigiCert jest uznanym i doświadczonym graczem na rynku SSL, a ustalone rozwiązanie sprawia, że marki Symantec, RapidSSL i GeoTrust nadal będą oferować bardzo wysoką jakość.

Przejęcie części Symantec przez DigiCert pozwala też jak najszybciej zapewnić ponownie długoterminowe wsparcie dla wydawanych certyfikatów SSL, bez ryzyka utraty zaufania dla nich w przeglądarkach.

Kto musi wystąpić o bezpłatne ponowne wydanie certyfikatu?

  • Klienci posiadający certyfikaty SSL wydane przez Symantec przed 1 czerwca 2016 roku, a nadal ważne, muszą je bezpłatnie wymienić do 15 marca 2018 roku, chyba że aktualny certyfikat wygasa wcześniej. W takim wypadku wystarczy uzyskać i zainstalować odnowiony certyfikat.
  • Klienci posiadający certyfikaty SSL wydane przez Symantec po 1 czerwca 2016 roku a przed 1 grudnia 2017 roku, muszą je bezpłatnie wymienić do 13 września 2018 roku, chyba że aktualny certyfikat wygasa wcześniej. W takim wypadku wystarczy uzyskać i zainstalować odnowiony certyfikat.
  • Osoby zamawiające lub odnawiające certyfikaty Symantec po 1 grudnia 2017 roku nie muszą podejmować żadnych dodatkowych kroków – takie certyfikaty są wydane już w nowej infrastrukturze.

W przypadku certyfikatów SSL wymagających ponownego wydania, a zamawianych naszych w serwisach MSERWIS.pl, Certyfikaty24.pl lub SSLReseller.pl będziemy się kontaktować indywidualnie z ich właścicielami.

Jak bezpłatnie uzyskać ponownie certyfikat?

Link do panelu ponownego wydania oraz Informacje o nowych CA dla poszczególnych marek są dostępne pod poniższymi adresami.

GeoTrust:

https://products.geotrust.com/orders/orderinformation/authentication.do
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=INFO4609

RapidSSL:

https://products.geotrust.com/orders/orderinformation/authentication.do
https://knowledge.rapidssl.com/support/ssl-certificate-support/index?page=content&id=INFO4610

Symantec:

https://products.websecurity.symantec.com/orders/orderinformation/authentication.do
https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&id=INFO4562

Thawte:

https://products.thawte.com/orders/orderinformation/authentication.do
https://search.thawte.com/support/ssl-digital-certificates/index?page=content&id=SO24197

Harmonogram zmian

DataWydarzenie
24 października 2017Chrome 62 wydany w wersji stabilnej. Narzędzia dla webmasterów wyświetlają ostrzeżenie, że certyfikaty SSL Symantec przestaną być zaufane wraz z wydaniem Chrome 66.
1 grudnia 2017Rozpoczyna się proces wydawania certyfikatów SSL Symantec (w tym również RapidSSL, GeoTrust, Thawte) pod CA DigiCert. Rozpoczyna się proces ponownego wydawania certyfikatów, które będą zaufane w Chrome 70 i wersjach późniejszych.
15 marca 2018Chrome 66 zostaje wydany w wersji beta. Certyfikaty SSL Symantec wydane przed 1 czerwca 2016 nie będą zaufane.
17 kwietnia 2018Chrome 66 zostaje wydany w wersji stabilnej (dostępnej powszechnie).
13 września 2018Chrome 70 zostaje wydany w wersji beta. Wszystkie stare certyfikaty SSL Symantec przestają być zaufane. Certyfikaty zakupione lub wydane ponownie po 1 grudnia 2017 roku są i będą zaufane.
23 października 2018Chrome 70 wydany w wersji stabilnej (dostępnej powszechnie).

Informacje w skrócie dla zabieganych

Na początku 2017 roku Google ogłosił, że przeglądarka Chrome przestanie ufać certyfikatom SSL wydanym przez Symantec. W sierpniu 2017 roku ogłoszono porozumienie, na mocy którego część Symantec odpowiedzialna za certyfikaty SSL zostanie przejęta przez firmę DigiCert.

Od 1 grudnia 2017 roku certyfikaty SSL wydawane pod markami Symantec, RapidSSL, GeoTrust, Thawte będą ponownie wydawane (bezpłatnie) przez CA należące do DigiCert, dzięki czemu nadal będą się cieszyć wysokim poziomem zaufania przez przeglądarki Chrome, Firefox i inne. Również nowo wydawane certyfikaty SSL RapidSSL, GeoTrust, Thawte oraz Symantec będą w pełni rozpoznawalne przez przeglądarki internetowe.

Obecni posiadacze certyfikatów SSL wydanych pod markami należącymi Symantec nie muszą podejmować żadnych czynności do marca 2018 roku. Certyfikaty wydane przed grudniem 2017 roku muszą być wówczas ponownie wydane (bezpłatnie). Będziemy się w tej sprawie kontaktować z właścicielami certyfikatów SSL wydanych przez MSERWIS.pl.

Dodatkowe informacje:

https://www.infoworld.com/article/3184482/security/google-to-symantec-we-dont-trust-you-anymore.html
http://www.securityweek.com/google-launches-its-own-root-certificate-authority
https://www.csoonline.com/article/3213664/internet/symantec-sells-its-problem-ssl-unit-to-digicert-for-1b.html
https://www.w3schools.com/browsers/
https://w3techs.com/technologies/overview/ssl_certificate/all
https://www.thesslstore.com/blog/google-chrome-distrust-symantec-ssl-certificates/
https://www.digicert.com/news/digicert-to-acquire-symantec-website-security-business/
https://www.symantec.com/connect/blogs/symantec-ca-acquisition

Komentarze