Чтобы исправить возникшую проблему, в Symantec решили продать технологию и PKI компании DigiCert. В конце октября 2017 года сделка была закрыта. Под катом рассказываем о подробностях «прекращения доверия» к сертификатам Symantec и последствиях для пользователей.
/ Flickr / Yuri Samoilov / CC
Почему продали
При работе с SSL-сертификатами, центры сертификации (CA – certification authority) придерживаются регламента, утвержденного консорциумом CA/Browser Forum, объединяющим разработчиков браузеров, операционных систем и PKI-приложений и корневые сертификационные центры. А весной прошлого года компания Google обвинила Symantec в несоблюдении этого регламента при выдаче сертификатов юридическим лицам.
Претензии касались сертификатов с расширенной проверкой, так называемых EV-сертификатов (Extended Validation). Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции. Для выдачи такого сертификата CA должен установить личность владельца домена. В Symantec эта проверка проводилась с нарушениями, потому нельзя было гарантировать соблюдение стандартов обслуживания владельцем сертификата.
Согласно исследованию, проведенному основателем SSLMat Эндрю Айером (Andrew Ayer), выданы с нарушениями были порядка ста сертификатов. В ответ на это в Google инициировали процесс прекращения доверия к сертификатам Symantec. Инициативу поддержала и компания Mozilla.
Чтобы решить проблему с доверием, Symantec нужно было обновить миллионы сертификатов клиентов и провести повторную оценку личности владельцев веб-ресурсов. Этот процесс потребовал бы слишком большого количества времени и денег, поэтому компания решила продать свой CA-бизнес DigiCert – стоимость сделки составила 950 миллионов долларов.
Процедура прекращения доверия
Процедура прекращения доверия начнется 15 марта этого года – во время выхода бета-версии Chrome 66. В этот момент браузер перестанет доверять сертификатам, которые Symantec выдали до 1 июня 2016 года с помощью старой инфраструктуры.
А уже 23 декабря 2018 года, когда выйдет Chrome 70, поддержка сертификатов Symantec прекратится совсем. Процесс пойдет в несколько этапов, так как в компании Google прислушались к просьбам ИТ-сообщества дать время на перевыпуск сертификатов.
Отметим, что утрата доверия затронет и сертификаты CA, связанных с корневым сертификатом Symantec SSL-цепочкой – это GeoTrust, Thawte и RapidSSL. Прекращают работу с сертификатами Symantec (выданными с использованием старой инфраструктуры) и реселлеры SSL-сертификатов, в том числе и компания 1cloud.
Как это скажется на пользователях
С первого декабря 2017 года DigiCert уже выпускает сертификаты Symantec на базе новой инфраструктуры, которые Google не считает «опасными». С этими сертификатами работаем и мы в 1cloud.
«По сути линейка сертификатов не изменилась. Мы продолжаем их продажу», – комментирует начальник отдела развития проекта 1cloud Сергей Белкин.Как отмечают в компании Symantec, специалисты DigiCert хорошо подготовлены и смогут достойно адаптировать бизнес-процессы и принять клиентов. Инфраструктура компании способна поддерживать миллиарды сертификатов и обладает широким потенциалом для масштабирования.
Бывший руководитель проектов Microsoft Cryptographic Ecosystem Джоди Клаутьер (Jody Cloutier) говорит, что новое приобретение DigiCert только увеличит инвестиции в развитие продуктов и платформ компании.
При этом клиенты Symantec могут заказывать сертификаты точно так же, как делали до этого, и использовать те же самые инструменты управления: контакты технической поддержки, номера контрактов, бренды и сроки достоверности остаются прежними.
Однако сертификаты, подпадающие под ограничения компании Google и Mozilla, все же необходимо заменить. Представители DigiCert уверяют, что замена будет производиться бесплатно в удобное для пользователей время. Все клиенты, которым необходимо обновить сертификат, получат напоминание и руководство с последовательностью действий. Однако они всегда могут обратиться в поддержку самостоятельно и получить индивидуальную консультацию.
Продажа новых сертификатов будет осуществляться на стандартных условиях компании DigiCert. Дополнительную информацию об услугах по выдаче SSL вы можете найти на официальном сайте.
Как быть владельцам Symantec-сертификатов
Если сертификат «попадает под замену», его необходимо перевыпустить, чтобы посетителей вашего сайта не смущали оповещения Google о незащищенности ресурса. Мы предлагаем следовать этим правилам:
- Если ваш SSL-сертификат куплен до 1 июня 2016 года, а срок его действия заканчивается после 14 марта 2018 года, то перевыпустить сертификат нужно до середины марта. В этот период выходит Chrome 66, и его пользователи будут получать уведомления от Google о небезопасности вашего ресурса.
- Если сертификат выдан в период с 1 июня 2016 года по 1 декабря 2017 года, то его нужно перевыпустить до 13 сентября 2018 года, то есть до выхода беты Chrome 70. Отметим, что если вы перевыпускали сертификат до 1 декабря прошлого года, вам придется заменить его повторно.
- Сертификаты, приобретенные уже после 1 декабря 2017 года, менять не требуется. Однако мы все же советуем следить за новостями в этой области, на случай возникновения непредвиденных обстоятельств.
Несколько постов по теме из блога 1cloud:
Комментарии (20)
PaulAtreides
19.02.2018 02:19Пошел почитать расследование про Symantec, ожидая, что там будет нечто типа встречавшегося мне в жизни получения EV с предоставлением левых, но праводподобных данных, относительно местонахождения компании (CA не проявлял достаточной настойчивости при проверке и выдавал EV). А там… Выдача EV сертификатов на test.com с остальными полями заполненными словами «test».
И тут я подумал, что сумма сделки 950 миллионов — это заплатил Symantec просто чтобы больше никогда не видеть людей, которые работают в этом CA.
TrllServ
19.02.2018 07:31Мне показалось, что это просто предлог, что б
отжать бизнесубрать из сертификации известную и уважаемую компанию. Особенно учитывая: «Symantec сообщает, что открыта для диалога и надеется разрешить данную ситуацию, совместно с представителями Google.»
Гугл определенно имеет свои планы в этой сфере учитывая эту тему.
ggo
19.02.2018 09:22Впервые они появились 11 лет назад и нужны веб-ресурсам, обрабатывающим финансовые операции.
Чем регламентируется, что нужны веб-ресурсам, обрабатывающим финансовые операции?
sumanai
19.02.2018 14:17Тем, что любой школьник может купить сертификат на домен, а последние года четыре выписать бесплатно, и заниматься мошенничеством. А EV-сертификаты получить не так просто, и они резко отличаются от обычных по отображению в браузерах, что даёт возможность легко проверить, что вы вводите данные своей карточки на сайте банка или крупного магазина, а не мошенника.
Надеюсь, саму необходимость шифрования доказывать не нужно.MikailBag
19.02.2018 14:35Как абстрактный Вася узнает, что перед вводом номера карточки нужно проверить, написано ли название? Замочек же есть, значит безопасно)
sumanai
19.02.2018 14:42Тут да, проблема в том, что браузеры помечают само наличие сертификата как что-то безопасное. Но не все являются абстрактными васями, и хоть немного разбирающиеся видят разницу между DV и EV сертификатом.
VulvarisMagistralis
19.02.2018 15:07Как абстрактный Вася узнает, что перед вводом номера карточки нужно проверить, написано ли название? Замочек же есть, значит безопасно)
нужно развивать компьютерную грамотность.
в конце концов виноват Вася будет сам.
но предоставить ему возможность увидеть сертификат — нужно.
технически такая возможность уже реализована.sumanai
19.02.2018 15:19но предоставить ему возможность увидеть сертификат — нужно.
технически такая возможность уже реализована.
Раньше вообще можно было посмотреть сертификат в два клика, но хромизация всех браузеров убила эту возможность ((
Но для EV сертификатов ничего смотреть не нужно, их из браузерной строки видно.VulvarisMagistralis
19.02.2018 17:17их из браузерной строки видно.
Об этом и речь.
Теперь все дело за грамотностью населения
ggo
20.02.2018 09:20Вопрос про другое. Утверждалось, что EV-сертификаты нужны веб-ресурсам, обрабатывающим финансовые операции.
Представим, условный Вася хочет купить через интернет нечто. Его перенаправляют с магазина на сайта процессинга. И тут Вася не видит EV-плашки, и думает: «да ну его, даже EV-сертификата нет, пойду поищу другой магазин с нормальным процессингом с нормальным EV-сертификатом». Это так работает?
Или, открываешь ты свой процессинг, и тут тебе регулятор выкатывает простыню законов и правил, и один из пунктов про наличие ev-сертификата. Это так работает?VulvarisMagistralis
20.02.2018 09:39Его перенаправляют с магазина на сайта процессинга. И тут Вася не видит EV-плашки
В этом случае видит как раз.
Да и если у тебя интернет-магазин с хорошими оборотами — купить за смешную для твоего бизнеса сумму сертификат — не есть проблема.ggo
20.02.2018 09:51Практика показывает обратное, ни paypal, ни ali, список глобальных процессингов можно продолжить, не беспокоит отсутствие EV.
VulvarisMagistralis
20.02.2018 13:35Наверно потому что у Paypal сертификат, все же, именной?
;)
Конечно не беспокоит — они уже купили и не беспокоятся.
aliencash
А какой СА сейчас надежный? Что покупать?
sumanai
В 99,9% подойдёт бесплатный LetsEncrypt.
Marwin
Эх, еще пару неделек, и должны перевести в паблик acme2 сервера с поддержкой wildcard. Вот тогда и правда будет 99,9% ))
VulvarisMagistralis
Вы не поняли сути проблемы.
Речь о сертификатах, где пользователи проверяются.
Lets Encrypt — вообще о другом.
ProRunner
Ну вообще в комментарии выше ничего не говорилось о необходимости получения EV-сертификата, для которого такая проверка необходима.
sumanai
Они и входят в 0,1% остальных случаев. Статья конечно начиналась с EV-сертицикатов, но, как я понимаю, последующие за этим пертурбации затрагивают всех владельцев сертификатов от DigiCert и их партнёров, и им теперь тоже нужно менять сертификаты, а лучшим выбором тут будет LE.