Google: línia de temps per desconfiar de tots els certificats Symantec a Chrome

Google va publicar una línia de temps recentment al bloc de seguretat de Google en què es destaca la línia de temps de publicació del suport per als certificats emesos per Symantec a Chrome.

La companyia preveu deixar completament suport a Chrome 70, però desconfiarà dels certificats emesos abans de l’1 de juny del 2016 tan aviat com el 15 de març del 2018 (Chrome 66).

El nucli de la qüestió que envolta els certificats de Symantec, el negoci opera sota marques com VeriSign, Thawte, Equifac, RapidSSL o GeoTrust - és que Symantec 'va confiar a diverses organitzacions la possibilitat d'emetre certificats sense la supervisió adequada o necessària' segons a Google

symantec certificate google chrome firefox

Symantec era conscient d’aquestes deficiències de seguretat i els incidents en el passat demostraven el mal que tenia. El 2015 per exemple, es van crear certificats per a cinc organitzacions, inclosa Google i Opera, sense el coneixement de les organitzacions implicades.

Symantec va venir a un acord amb DigiCert en virtut del qual DigiCert adquirirà el negoci de solucions PKI de seguretat del lloc web i Symantec.

Google planeja eliminar la confiança de tots els certificats emesos per Symantec a Chrome durant l'any que ve. La companyia va publicar una línia de temps que destaca les dates més importants del procés.

  • 24 d'octubre del 2017 - Chrome 62 Stable: Chrome ressalta si un certificat d'un lloc es desconfiarà quan es publiqui Chrome 66.
  • 1 de desembre de 2017 - La nova infraestructura de DigiCert serà 'capaç d'emetre completament'. Els certificats emesos per l'antiga infraestructura de Symantec deixaran de funcionar en futures actualitzacions. Això no afectarà els certificats emesos per DigiCert.
  • 15 de març de 2018: Chrome 66 Beta: qualsevol certificat emès per Symantec abans de l'1 de juny de 2016 és desconfiat. Els llocs no es carregaran, però llançaran una alerta de certificat.
  • 13 de setembre de 2018: Chrome 70 Beta: la confiança en l'antiga infraestructura de Symantec es cau completament a Google Chrome. Això no afectarà els certificats emesos de DigiCert, sinó que bloquejarà qualsevol lloc que utilitzi certificats antics.

Els usuaris de Chrome realment no poden fer res al respecte, ja que els operadors de llocs web han de canviar a un certificat que encara té confiança per Google des del 14 de març del 2018. L’única opció que tenen els usuaris del navegador és fer saber als operadors del lloc web els problemes del certificat. en cas que no en siguin conscients.

Mozilla coincidirà amb les dates proposades per Google segons a una publicació de Gervase Markham al grup de polítiques de seguretat de Mozilla Dev.

Els administradors web que executin llocs amb certificats Symantec han d’afegir nous certificats a les seves propietats web abans de la data límit per assegurar l’accés continuat a aquestes propietats. Una opció que tenen els administradors de web és utilitzar Permet xifrar que ofereix certificats gratuïts i automatitzats.