Google har gått i spissen for en etterforskning av det som omtales av svært omfattende brudd på bransjeregelverket fra Symantecs side i forbindelse med utstedelse av SSL/TLS-sikkerhetssertifikatene som brukes blant annet i forbindelse med kryptert overføring av webinnhold, HTTPS. Blant annet skal selskapet har feilutstedt mer enn 30 000 sertifikater.
Symantec trolig verdens største utsteder av slike sikkerhetssertifikater, i alle fall når man regner med sertifikatutstederne som gjennom årene har blitt kjøpt opp av Symantec, inkludert GeoTrust, Thawte, Verisign og RapidSSL.
Ingen tillit
Allerede i mars i år varslet Google at selskapet har mistet tilliten til Symantec som sertifikatutsteder. Google kunngjorde da også foreløpige planer om gradvis å fjerne støtten for visse sertifikater utstedt av Symantec.
_logo.svg.png){kind=logo}
Etterforskningen skal derimot ha pågått helt til nå, og Symantec, som har hevdet at anklagene var både overdrevne og villedende, har i mellomtiden blitt villige til å forhandle.
Nå skal Google ha kommet med en endelig konklusjon i saken. Dette skriver Bleeping Computer.
Bakgrunn: Mengder av nettsteder må trolig skaffe seg nye sertifikater
Slutter å være CA
Fra den 1. desember i år vil ikke Symantec være en selvstendig sertifikatutsteder (CA – Certificate Authority). I stedet vil selskapet inngå partnerskap med en annen CA som vil utstede sertifikater i Symantecs navn. Symantec blir da det som kalles for en Subordinate Certificate Authority (SubCA). Selv om det fortsatt er Symantec står som leverandør av sertifikatene, overlates ansvaret for utstedelsen til en annen aktør.
Symantec skal ha blitt enige med Google og Mozilla om at dette er en akseptabel ordning.
Dersom Symantec igjen skal bli en CA, må selskapet bygge opp en ny sertifikatvirksomhet, basert på en ny infrastruktur. Men det har kommet rapporter om at selskapet i stedet vurderer å selge dagens sertifikatvirksomhet til en annen aktør.
For Symantecs sertifikatkunder får nyhetene ingen umiddelbare konsekvenser, men Google har lagt fram planer som vil kunne få betydning for mange av Symantecs sertifikatkunder på litt sikt.
Også tidligere: Truer Symantec med sikkerhetsadvarsel i Chrome
Chrome-tiltak utsatt til 2018
Den 28. juli skrev Googles Darin Fisher en melding i denne diskusjonsgruppen hvor det gjøres klart at Chrome 66, som etter planen skal utgis den 17. april 2018, ikke vil akseptere sertifikater som er utstedt av Symantec før den 1. juni 2016.
Sertifikater som eventuelt er utstedt på Symantecs nåværende infrastruktur etter den 1. desember, vil trolig aldri bli akseptert av Chrome.
Når Chrome 70 kommer i oktober 2018, vil heller ikke sertifikater utstedt på Symantecs nåværende infrastruktur i perioden 1. juni 2016 til 1. desember 2017 bli akseptert av Chrome.
Mange må bytte sertifikat
Dette innebærer at nettsteder som allerede har sertifikater utstedt av Symantec før den 1. desember 2017, må skifte ut sertifikatene med sertifikater som ikke er signert med rotsertifikater som tilhører Symantecs nåværende sertifikatinfrastruktur. Google anbefaler at dette gjøres innen den 15. mars 2018.
Opprinnelig hadde Google planer om å sette fristen til august i år, mens Mozilla foreslo utgangen av 2017. Men Google mener at de forlengede fristene utgjør en mer passende balanse mellom sikkerhetsrisikoen Chrome-brukerne utsettes for og forsøket på å minimalisere faren for sammenbrudd i økosystemet.
Selv om det er Google, og til dels Mozilla, som har ført denne saken mot Symantec, så skriver Bleeping Computer at også Apple og Microsoft, som er de to andre, store nettleserleverandørene, er misfornøyde med Symantecs sertifikatvirksomhet.
Les også: Let's Encrypt har utstedt tusenvis av sertifikater til rene phishingsider
