Google ja Symantec lähenemässä sopua luottamusongelmassa?

12.6.2017

key_hands_700x400

Blogiartikkelissa 27.3.2017 kerroimme, että Google harkitsee mm. EV-statuksen poistamista Symantecin varmenteilta (mukaan lukien Thawte, GeoTrust ja RapidSSL -varmenteet). Google ja Symantec ovat tavanneet ja Google on tehnyt uuden ehdotuksen, jota Symantec on kommentoinut. Jos ehdotus menee läpi, alamme nähdä käytännön toimia 8.8.2017.

Googlen uusi ehdotus ja Symantecin vastine

Google ja Symantec tapasivat 12.5.2017 ja tämän perusteella Google (Ryan Sleevi) julkaisi 19.5.2017 uuden ehdotuksen menettelystä. Se vähentäisi edelliseen ehdotukseen verrattuna merkittävästi Symantecin asiakkailta vaadittavia toimenpiteitä ja kaikki 1.6.2016 jälkeen myönnetyt varmenteet olisivat kunnossa. Oleellisin vaatimus on, että Symantec liittoutuisi väliaikaisesti jonkun toisen varmentajan (”subCA”) kanssa, joka hoitaisi 8.8.2017 alkaen Symantecin puolesta varsinaisen varmentamisen ja joka tekisi osittaisen varmenteiden allekirjoituksen omalla root-varmenteellaan (cross signing). Menettelyä jatkettaisiin siihen asti, kunnes Symantec olisi todistanut Googlelle omien prosessiensa säännönmukaisuuden. Vincent Lynch on koonnut blogikirjoitukseensa 24.5.2017. tapahtuneesta hyvän yhteenvedon.

Symantec julkaisi 1.6.2017 vastineen, jossa kertoo pyytäneensä tarjoukset mahdollisilta subCA -kandidaateilta. Symantec myös kritisoi esimerkiksi ehdotuksen tuottamaa mittavaa työmäärää olemassa olevien asiakkaiden uudelleenverifioinnissa.

Miksi juuri 1.6.2016 jälkeen tehdyt Symantecin varmenteet olisivat ok?

Google vaati jo 1.1.2015 alkaen kaikkia varmentajia kirjaamaan EV-varmenteensa Googlen Certificate Transparency -lokeihin (CT). Tämä oli edellytys, jotta Chrome-selain näyttää EV-varmenteella suojatulla sivulla palvelun tuottavan organisaation nimen otsikkopalkissa vihreällä (EV-varmentamisen tunnuksella).

Google oli kritisoinut Symantecin ja Symantecin alihankkijoina toimineiden yritysten verifiointimenettelyjä. Tätä vaatimusta tähdentääkseen Googlen vaati nimenomaan Symantecia kirjaamaan 1.6.2016 alken myös kaikki OV-varmenteensa CT-lokeihin (tämä koski siis kaikkia Symantecin brändejä). Muille varmentajille riitti edelleen pelkkä EV-varmenteiden kirjaaminen.

Ehdotuksen mukaan ennen 1.6.2016 tehdyt Symantec-varmenteet tulisi vaihtaa

Tämä on tausta sille, miksi ehdotetussa menettelyssä kaikki 1.6.2016 jälkeen myönnetyt Symantecin varmenteet toimisivat kuten ennenkin. Symantecin asiakkaiden tulisi kuitenkin vähitellen vaihtaa varmenteet, jotka on luotu ennen 1.6.2016. Chrome-selain asettaisi näille rajoitteita kahdessa vaiheessa: Elokuussa 2017 julkaistava Chromen versio 62 ei enää luottaisi Symantecin varmenteisiin, jotka on luotu ennen 1.6.2015 (varmenteen notBefore-kentän mukaan). Elokuulle 2018 odotettava versio 65 ei enää luottaisi Symantecin varmenteisiin, jotka on luotu ennen 1.6.2016.

Pyrimme seuraamaan tämän prosessin etenemistä ja kertomaan lisää, kun tietoa/päätöksiä tulee.

 

Lisäinfoa:  info(at)wesentra.com    tai     https://www.wesentra.com

 

Lue lisää