Godnat, Symantec-certifikater: Om en uge slukker Chrome for hundredevis af topsites

9. oktober 2018 kl. 14:451
Godnat, Symantec-certifikater: Om en uge slukker Chrome for hundredevis af topsites
Illustration: Google Inc.
Chrome-browseren stoler ikke længere på Symantecs SSL/TLS-certifikatudstedelse. Fra den 16. oktober - eller deromkring - vil brugere derfor ikke længere kunne indlæse sider med Symantec-certifikater.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Så er dagen snart kommet. Om en uge lancerer Google Chrome 70, og det betyder farvel og tak til SSL/TLS-certifikater fra Symantec og datterselskaber.

Som Google bekendtgjorde i marts, har man nemlig ikke længere tillid til Symantecs udstedelse af certifikaterne, og mistilliden får konsekvenser med Chrome 70, hvor browseren vil begynde at blokere sites med SSL/TLS-certifikater fra Symantec og virksomhedens opkøbte selskaber.

Det gælder blandt andet Thawte, VeriSign, Equifax, GeoTrust and RapidSSL.

Men ifølge sikkerhedsekspert Scott Helme har 1.139 topsites stadig en af de snart forældede certifikater, viser hans gennemgang af Amazons Alexa-liste over verdens en million største sites. Det skriver Techcrunch.

Artiklen fortsætter efter annoncen

Baggrunden for, at Chrome nu lukker døren i for Symantecs SSL/TLS-certifikater, er, at Google under en efterforskning i starten af 2017 opdagede, at Symantec og Symantec-ejede certifikatudstedere havde fejludstedt mindst 30.000 certifikater.

Sikkerhedsekspert Scott Helme har via crawler.ninja gennemsøgt Amazon Alexas liste for sites og derefter kørt et script på dem for at se, hvilke sites der stadig har de snart blokerede certifikater. Listen har han udgivet på sin blog.

»Hvis du er på listen, er du virkelig tæt på ikke at kunne nå at forny dit certifikat i tide,« skriver han i blogindlægget.

Flere store sites findes på listen, blandt andet Indiens nationalbank og Tel-Avivs bystyre. Også flere danske sider fremgår af listen.

Postnord.se er også på listen, men Postnord har siden Scott Helmes undersøgelse nået at skifte certifikat på den svenske hjemmeside til et fra DigiCert. Postnord.dk har haft SSL/TLS-certifikat fra DigiCert siden 2017 og bliver derfor ikke berørt.

Listen er dog ikke udtømmende, understreger Scott Helme på sin blog, eftersom den kun gennemgår de en million sites, der ifølge Amazon Alexa er størst.

Også Mozilla har udtrykt mistillid til Symantecs SSL/TLS-certifikater og vil med Firefox 63, der bliver lanceret 23. oktober, lukke ned for sider med Symantec-certifikater. Apple følger i samme fodspor med Safari i løbet af efteråret.

1 kommentar.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
1
16. oktober 2018 kl. 13:22

I burde måske lige inkludere i jeres artikel at digicert har overtaget alle de ssl brands og at alle certifikater er udstedt med digicert rod siden december 2017. Certifikater der er købt efter den dato er der derfor ingen problemer med.

Certifikater købt før 1/12/2017 tilbyder digicert gratis genudstedelse af så alle der har et certifikat, der er problemer med kan gratis få et nyt certifikat.

disclaimer: Ja, jeg arbejder med salg af SSL certifikater til hverdag.