image

Google Chrome gaat vanaf april Symantec-certificaten blokkeren

vrijdag 28 juli 2017, 17:25 door Redactie, 2 reacties

Google Chrome gaat vanaf volgend jaar april ssl-certificaten van Symantec blokkeren die voor 1 juni 2016 zijn uitgegeven. Aanleiding zijn verschillende incidenten met door Symantec uitgegeven ssl-certificaten. Om het vertrouwen in de certificaten van het beveiligingsbedrijf te herstellen stelde Google verschillende maatregelen voor. Symantec kwam daarop met een eigen voorstel, waarop Google weer een tegenvoorstel presenteerde.

De internetgigant heeft nu het definitieve voorstel gepresenteerd. Met de lancering van Chrome 66 volgend jaar april worden alle ssl-certificaten van Symantec van voor 1 juni 2016 niet meer vertrouwd. In het geval Chrome-gebruikers websites met dergelijke certificaten tegenkomen krijgen ze een waarschuwing van de browser. Webmasters krijgen dan ook het advies om deze door Symantec uitgegeven certificaten voor 15 maart 2018 te vervangen om problemen te voorkomen.

Met de lancering van Chrome 70, die voor oktober 2018 staat gepland, worden alle certificaten die via de oude infrastructuur van Symantec zijn uitgegeven vervangen. Symantec heeft Google laten weten dat de nieuwe infrastructuur, die aan de eisen van Google moet voldoen, vanaf 1 december dit jaar operationeel zal zijn. Het gaat om een "Managed Partner Infrastructure" die niet door Symantec wordt beheerd. Volgens Google zorgt het nu gepresenteerde voorstel voor een goede balans tussen de veiligheidsrisico's voor Chrome-gebruikers en het minimaliseren van de verstoring van het ecosysteem.

Reacties (2)
29-07-2017, 00:04 door Anoniem
Waarom dit weer en vanaf nu al in Google Chrome 60 steeds korter lopende certificeringsduur voor vier niet met name genoemde bedrijven? Er zal wel niet zo goed opgelet zijn door Symantec, die overigens met zijn crypto rapporten waardevolle security informatie over certificaten deelt: https://cryptoreport.websecurity.symantec.com/checker/

Je komt zo nogal eens een certificaatje als root op de server geinstalleerd op het spoor.

Waar er twee kijven, hebben er meestal twee schuld. Spelen tussentijdse aanpassingen van het niet publiek toegankelijke net (cloud en transportdiensten) ook wellicht niet een rol in deze zo hoog oplopende security zaak?

Kan thans verhoogde security alleen nog afgedwongen worden door de acties van een belangrijk monopolist met een browser aandeel van zo'n 60%, zoals Google Don't Be Evil en staan wij met zijn allen als onmachtige toeschouwers langs de zijlijn?

Maar voor de getroffen certificaathouders ook geen lolletje als je ineens je chrome eindgebruikers je groene slotje moeten missen en je als bedrijf moet overstappen op iets anders. Volgens Symantec zou het maar gaan om 127 test certificaten en volgens Google zelfs over iets zo verwerpelijks als certificeringsidentiteitsdiestal. We zullen er wel meer van horen.
29-07-2017, 17:56 door Anoniem
Hoe op CT te testen volgens Symantec: https://knowledge.symantec.com/support/ssl-certificates-support/index?page=content&actp=CROSSLINK&id=SO28983 (CT= Certificate Transparency).

Google gaat nu al CT invoeren en Symatec wil dat tegen het eind van het jaar pas op orde brengen (als het lukt).

Met elke nieuwe Google Chrome versie zullen dus de duimschroeven door Google bij Symantec wat betreft CT wat verder worden aangedraaid tot ze aan de Google CT voorwaarden voldoen.

Zijn hun klanten inmiddels dan al weggelopen naar andere certificaatverleners? Dat staat nog te bezien. Google weert ze in ieder geval steeds dringender uit de browser en dat is een hele GROTE browser, globaal gezien.

Met hun grote marktaandeel en vier grote ingelijfde partners is dit alles geen lichte bedreiging voor Symantec's certificeringspoot. Het kan dus serieus pijn gaan doen. Ik zou al met de witte vlag gaan zwaaien als ik Symantec?Norton was.

Test op CT (Certificate Transparency) zelf hier:.
U kunt cheken op domein of subdomein(en) hier: https://www.entrust.com/ct-search/

En dan hebben we ook nog good old Netcraft's: https://www.netcraft.com/internet-data-mining/netcraft-br-ev-and-ct-compliance-checking-for-certificate-authorities/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.