Chrome smækker porten i over for Symantec-certifikater

Google Chrome vil ikke længere anerkende EV-certifikater fra Symantec-ejede udstedere.

Googles Chrome-team bekendtgjorde i sidste uge, at det ikke længere har fuld tillid til Symantecs proces for udstedelse af TLS-certifikater, som benyttes af rigtig mange websites over hele verden.

Baggrunden for dette er en efterforskning, Google har foretaget de seneste par måneder, hvor det er blevet afdækket, at Symantec og Symantec-ejede certifikatudstedere havde fejludstedt mindst 30.000 certifikater.

Blandt dem er sitesene Thawte, Verisign, Geotrust og Equifax.

Dette vil utvivlsomt få konsekvenser, både for Symantec og for selskabets certifikatkunder. I planerne, som nu er offentliggjort, er der tre tiltag, som ifølge Google skal genoprette sikkerheden for Chrome-brugerne.

Tre tiltag

Det første tiltag er, at Chrome ikke vil acceptere nye Symantec-udstedte certifikater med en gyldighedstid på mere end ni måneder. Dette er for at begrænse skadevirkningerne af eventuelle nye, fejludstedte certifikater.

Det andet tiltag indebærer en gradvis reduktion i, hvor gamle certifikater Google vil understøtte, hvis certifikaterne er udstedt af Symantec eller dets datterselskaber.

I dag kan man købe certifikater med mindst tre års gyldighed. Men fra og med Chrome 59, som efter planen skal komme 6. juni i år, vil browseren ikke understøtte Symantec-udstedte certifikater, som er ældre end 33 måneder.

For hver af de følgende Chrome-udgaver, bortset fra Chrome 63, vil den maksimalt støttede alder på disse certifikater blive reduceret med tre måneder, indtil man med Chrome 64 kun accepterer Symantec-udstedte certifikater som er maksimalt ni måneder gamle.

Ideen med dette er at reducere belastningen på de berørte websites. Alligevel vil de i løbet af denne periode skulle forny certifikaterne for at undgå, at besøg på siden resulterer i en fejlmeldning.

EV-certifikater

Det tredje tiltag er nok det, som i første omgang vil få de største konsekvenser. Google planlægger nemlig at fjerne godkendelsen af Extended Validation-statussen (EV) til Symantec-udstedte certifikater. Dette vil i så fald ske, så snart planerne er blevet vedtaget.

Når man besøger et website, som benytter et EV-certifikat, kan man se, at navnet på organisationen bag websitet vises i browserens adressefelt. Grunden til, at Google ikke længere vil anerkende EV-certifikater udstedt av Symantec er, at Google mener, at Symantecs kontrol af denne information ikke lever op til den kvalitet og validering, som kræves for at opnå denne status.

Denne udelukkelse vil, hvis den iværksættes, vare i mindst et år.

Markedsførende

Symantec er med de nævnte datterselskaber og varemærker utvivlsomt verdens største udsteder af TLS-certifikater. Der findes formentlig ingen nye, officielle tal, men ifølge Google stod Symantec for mere end 30 procent af alle gyldige certifikater i 2015.

Ikke overraskende er Symantec ikke just positivt stemt over for Googles planer.

Men Google og andre browserleverandører har dog været endnu hårdere i deres sanktioner før. I flere tilfælde har de nærmest med øjeblikkelig virkning fjernet støtten til certifikatudstedere af rodcertifikater, som har fejludstedt certifikater.

Google er for øvrigt usikker på, hvad andre browserleverandører vil gøre i dette tilfælde. Selskabet skriver, at Apple og Microsoft ikke udtaler sig offentligt, før tiltagene iværksættes. Mozilla plejer at tage diskussioner som disse offentligt, men har endnu ikke involveret sig i diskussionen om, hvad de vil gøre fremadrettet.

Denne artikel stammer fra det norske medie digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize