Google Chrome gaat vanaf april Symantec-certificaten blokkeren
Google Chrome gaat vanaf volgend jaar april ssl-certificaten van Symantec blokkeren die voor 1 juni 2016 zijn uitgegeven. Aanleiding zijn verschillende incidenten met door Symantec uitgegeven ssl-certificaten. Om het vertrouwen in de certificaten van het beveiligingsbedrijf te herstellen stelde Google verschillende maatregelen voor. Symantec kwam daarop met een eigen voorstel, waarop Google weer een tegenvoorstel presenteerde.
De internetgigant heeft nu het definitieve voorstel gepresenteerd. Met de lancering van Chrome 66 volgend jaar april worden alle ssl-certificaten van Symantec van voor 1 juni 2016 niet meer vertrouwd. In het geval Chrome-gebruikers websites met dergelijke certificaten tegenkomen krijgen ze een waarschuwing van de browser. Webmasters krijgen dan ook het advies om deze door Symantec uitgegeven certificaten voor 15 maart 2018 te vervangen om problemen te voorkomen.
Met de lancering van Chrome 70, die voor oktober 2018 staat gepland, worden alle certificaten die via de oude infrastructuur van Symantec zijn uitgegeven vervangen. Symantec heeft Google laten weten dat de nieuwe infrastructuur, die aan de eisen van Google moet voldoen, vanaf 1 december dit jaar operationeel zal zijn. Het gaat om een "Managed Partner Infrastructure" die niet door Symantec wordt beheerd. Volgens Google zorgt het nu gepresenteerde voorstel voor een goede balans tussen de veiligheidsrisico's voor Chrome-gebruikers en het minimaliseren van de verstoring van het ecosysteem.
Je komt zo nogal eens een certificaatje als root op de server geinstalleerd op het spoor.
Waar er twee kijven, hebben er meestal twee schuld. Spelen tussentijdse aanpassingen van het niet publiek toegankelijke net (cloud en transportdiensten) ook wellicht niet een rol in deze zo hoog oplopende security zaak?
Kan thans verhoogde security alleen nog afgedwongen worden door de acties van een belangrijk monopolist met een browser aandeel van zo'n 60%, zoals Google Don't Be Evil en staan wij met zijn allen als onmachtige toeschouwers langs de zijlijn?
Maar voor de getroffen certificaathouders ook geen lolletje als je ineens je chrome eindgebruikers je groene slotje moeten missen en je als bedrijf moet overstappen op iets anders. Volgens Symantec zou het maar gaan om 127 test certificaten en volgens Google zelfs over iets zo verwerpelijks als certificeringsidentiteitsdiestal. We zullen er wel meer van horen.
Google gaat nu al CT invoeren en Symatec wil dat tegen het eind van het jaar pas op orde brengen (als het lukt).
Met elke nieuwe Google Chrome versie zullen dus de duimschroeven door Google bij Symantec wat betreft CT wat verder worden aangedraaid tot ze aan de Google CT voorwaarden voldoen.
Zijn hun klanten inmiddels dan al weggelopen naar andere certificaatverleners? Dat staat nog te bezien. Google weert ze in ieder geval steeds dringender uit de browser en dat is een hele GROTE browser, globaal gezien.
Met hun grote marktaandeel en vier grote ingelijfde partners is dit alles geen lichte bedreiging voor Symantec's certificeringspoot. Het kan dus serieus pijn gaan doen. Ik zou al met de witte vlag gaan zwaaien als ik Symantec?Norton was.
Test op CT (Certificate Transparency) zelf hier:.
U kunt cheken op domein of subdomein(en) hier: https://www.entrust.com/ct-search/
En dan hebben we ook nog good old Netcraft's: https://www.netcraft.com/internet-data-mining/netcraft-br-ev-and-ct-compliance-checking-for-certificate-authorities/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
