Google harkitsee Symantecin SSL-varmenteiden luottamuksen vähentämistä

27.3.2017

miettinen_700x400

Tässä lyhyt tilanteen päivitys 3.4.2017:

  • Ryan Sleevi kirjoitti artikkelin 23.3.2017
  • 31.3.2017 mennessä tähän oli tullut 151 kommenttia, joista 37 on Ryanin vastauksia
  • Kaksi Blink API Owneria on kommentoinut 31.3. (Rick Byers ja Jochen Eisinger)
  • Yhtään LGTM -palautetta ei ole tullut ainakaan vielä (”Looks Good To Me”)
  • Andrew R. Whalley tarkentaa kommentissaan 31.3., että jos kolme Blink API Owneria antaa LGTM-palautteen, menee ehdotus eteenpäin. Tällöin saatetaan edelleen tarvita lisäselvityksiä ja -hyväksymisiä ennen kuin päätös tuotemuutoksesta voidaan tehdä
  • Kaikki kommentit löytyvät tästä samasta ketjusta

Alkuperäinen blogikirjoituksemme 27.3. on alla.

Nyt on haastava kirjoitustehtävä. Hyvä ohje sanoo, että kilpailijoista ei pidä kertoa huonoja asioita. Mutta tämä asia on tärkeä koko SSL/TLS -yhteisölle. Se osoittaa, kuinka tärkeää on työmme ydin – varmentaminen ja sen prosessien tarkka noudattaminen (kuten artikkelissamme 6.3. todettiin).

Yritän koota tähän lyhyen yhteenvedon siten, kun sen Wesentralla ymmärrämme. Linkin takaa löytyvät ne englanninkieliset tekstit, joihin näkemyksemme perustuu.

  • Googlelta Ryan Sleevi (Staff Software Engineer) on tehnyt ehdotuksen Symantecin myöntämien SSL-varmenteiden luottamuksen vähentämisestä Chrome -selaimessa
  • Syynä ovat Symantecin neljän jälleenmyyjän tekemät väärinkäytökset. Symantec on aikanaan antanut näille valtuudet tehdä validointipalvelua. Osa ongelmaa on ollut, että Symantec ei Googlen mielestä ole ollut riittävän avoin ongelmien myöntämisessä ja selvittämisessä.
  • Ehdotus menee läpi, jos kolme Chromen kehitystä ohjaavista Blink Owner -henkilöistä antaa hyväksyntänsä
  • Jos ehdotus menee läpi:
    • alkaa Chrome versiosta 59 lähtien muuttaa Symantecin julkaisemien uusien (kyseisen version julkaisupäivän jälkeen myönnettyjen) OV-varmenteiden hyväksymistä. Versiossa 59 (arvioitu julkaisu 1.6.2017) Symantecin varmenteen pitäisi olla korkeintaan 33 kuukautta vanha, jotta Chrome sen hyväksyy. Tästä aika vähitellen kiristyy. Versiossa 62 (arvioitu julkaisu 24.10.2017) varmenteen pitäisi olla korkeintaan 15 kuukautta vanha. Ja tämä putoaa seuraavissa versioissa yhdeksään kuukauteen.
    • Chrome alkaisi näyttää eri versioissa vähitellen lisää epäluottamuksen merkkejä Symantecin aiemmin myöntämille varmenteilla. Tavoitteena on, että ne validoidaan uudelleen ja uusitaan.
    • Chrome ei enää näyttäisi Symantecin myöntämiä EV-varmenteita EV-tasoisina vaan OV-tasoisina (vihreä nimi häviäisi otsikkoriviltä).
    • Käsittääksemme tämä ehdotus koskee kaikkia kolmea Symantecin omistamaa brändiä: Symantec, Thawte ja GeoTrust.

Symantec on julkaissut oman vastineensa, jossa Symantec protestoi voimallisesti Googlen menettelyä vastaan.

Vielä muutama oma ajatus ennen lähtötekstejä:

  • Jos sanktio astuu voimaan, käsittääksemme Symantecin OV-varmenteita voi edelleen käyttää – mutta ne pitää uusia riittävän usein, jotta Chromekin ne hyväksyy
  • Olemme Wesentralla jo aiemminkin tiedostaneet vastuumme Entrustin ensimmäisenä eurooppalaisena varmentemiskumppanina. Tämä korostaa tuota vastuuta. Omalta kannaltamme tilannetta helpottaa se, että Entrust on kouluttanut varmennusasiantuntijamme, sertifioinut heidät ja valvoo toimintaamme. Me teemme kotimaisin voimin yritysten, domainien ja henkilöiden tarkastamisen ja tarvittavat puhelinsoitot. Näiden perusteella varmentamisasiantuntijamme täyttävät dokumentit, jotka menevät Entrustin auditoijalle. Hän varsinaisesti päättää mahdollisesta hyväksymisestä tai hylkäämisestä. On vaikea sanoa, onko Symantecin kumppaneilla ollut itsellään myös auditointioikeus. Ainakaan auditointia ei ilmeisesti ole tehty riittävän hyvin.

Lähteet: Yllä olevat näkemykset perustuvat Ryan Sleevin artikkeliin sekä sen lopussa oleviin kysymyksiin ja vastauksiin.

Lisää tietoa saa:  info(at)wesentra.com     tai      https://www.wesentra.com

Lue lisää