Google heeft websites die gebruik maken van certificaten die door Symantec zijn uitgegeven opnieuw gewaarschuwd omdat deze certificaten straks niet meer door Chrome zullen worden vertrouwd. De plannen van Google om dit te doen waren eerder al bekend geworden, maar de internetgigant heeft die nu breder uiteengezet.
Begin dit jaar ontdekte Google dat certificaatautoriteiten die onder Symantec vallen, waaronder Thawte, VeriSign, Equifax, GeoTrust en RapidSSL, meerdere certificaten hadden uitgegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden. Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars die regels voor certificaten opstellen. Certificaten, die onder andere voor versleutelde verbindingen tussen websites en bezoekers worden gebruikt, spelen een belangrijke rol op internet. Het overtreden van deze regels wordt Symantec dan ook zwaar aangerekend.
Verder onderzoek wees uit dat Symantec ook nog eens verschillende organisaties de mogelijkheid had gegeven om certificaten uit te geven zonder gepast of noodzakelijk toezicht en wist van beveiligingstekortkomingen bij deze organisaties. In 2015 werden ook al problemen met door Symantec uitgegeven certificaten ontdekt. Volgens Google is er dan ook sprake van een patroon waardoor al uitgegeven en nog uit te geven certificaten van het beveiligingsbedrijf niet meer te vertrouwen zijn.
Met de lancering van Chrome 66 op 17 april volgend jaar zal Chrome Symantec-certificaten die voor 1 juni 2016 zijn uitgeven niet meer vertrouwen. Websites die van dergelijke certificaten gebruikmaken moeten een ander certificaat regelen, anders zal de website bij Chrome-gebruikers voor een certificaatwaarschuwing zorgen. Vanaf 1 december 2017 zal Symantec het uitgeven en beheer van certificaten aan DigiCert overdragen. Certificaten die vanaf dat moment van de oude Symantec-infrastructuur afkomstig zijn worden dan niet meer vertrouwd. Het gaat dan om certificaten die aan de Symantec-root zijn gekoppeld. In oktober 2018 zal Chrome 70 verschijnen die het vertrouwen in certificaten afkomstig van de oude Symantec-infrastructuur volledig opzegt.
Deze posting is gelocked. Reageren is niet meer mogelijk.