Сертификаты Symantec утратят доверие в браузере Chrome. Что делать и как подготовиться?
Кого коснутся изменения, которые произойдут в 2018 году
В марте, команда Google Chrome сообщила о проблемах и нарушении стандартов в процедуре выпуска сертификатов в компании Symantec. Эта проблема обсуждалась последние 4 месяца между Google, Symantec и другими членами интернет комьюнити. Компании Google и Mozilla планировали начать процесс утраты доверия к сертификатам Symantec, в связи с многочисленными нарушениями в процессе валидации клиентов, при выпуске сертификатов EV (Extended Validation).
В конце июля, Chrome и Symantec анонсировали их окончательный план по решению ситуации. И первоначальный крайний срок 8 августа 2017 года теперь не действителен.
Если вы управляете сайтом, который использует сертификаты Symantec, пожалуйста ознакомтесь с этим материалом, чтобы быть в курсе коснется ли вас изменения, которые будут в будущих версиях браузера Chrome и как вы можете заменить бесплатно сертификат, до вступления в силу изменений. Это коснется меньшего числа пользователей, чем изначально предполагалось, и в этом материале мы подготовили инструкцию как избежать проблем, связанных с этими изменениями.
Этот материал в первую очередь предназначен для владельцев и администраторов сайтов, которые используют какой-либо сертификат компании Symantec. Для конечных пользователей ничего предпринимать не придется.
Коснется ли меня эта проблема?
Если вы сейчас используете сертификат Symantec или планируете заказывать такой в 2017 году, это может относится к вам.
Обратите внимание, что компания Symantec управляет множеством брендов и эта информация относится ко всем. А именно:
Также обратите внимание, что Mozilla Firefox планирует предпринять похожие действия по утрате доверия к сертификатам в их браузере, но они пока не озвучили окончательны план.
Нет причин для паники – до 2018 года никаких изменений не будет, поэтому все еще есть достаточно времени, чтобы подготовиться.
Chrome будет удалять доверие к сертификатам Symantec в два этапа. Первый этап коснется сертификатов, выпущенных до 1 июня 2016 года. Второй этап коснется всех сертификатов Symantec выпущенных с использованием их текущих корневых сертификатов – включая сертификаты, которые еще не выпущены.
Чтобы соответствовать плану Google, вам нужно заменить текущие сертификаты Symantec, воспользовавшись бесплатным процессом перевыпуска. Вы сможете сделать это с минимальными прерываниями в работе.
Примечание: наши клиенты получат сообщение по email с информацией о необходимых действиях.
Почему это происходит?
В результате нарушения стандартов, Google Chrome принял решение что текущие корневые сертификаты Symantec, должны быть пересмотрены в Chrome. Речь идет о том, что были неправильно выпущены ряд тестовых сертификатов. Google использует это как аргументов, что все сертификаты Symantec теперь под подозрением.
Нам кажется, что это черезмерная реакция, но мы стараемся уведомить наших клиентов, чтобы это минимально коснулось их бизнеса.
В результате позиции Google, многие SSL сертификаты Symantec утратят доверие в браузере Chrome и при заходе на сайты с такими сертификатами – пользователи будут видеть ошибки в браузере.
Это произойдет в два этапа, первый начнется в апреле 2018 года, а второй в октябре 2018 (мы расскажем подробней об этапах ниже).
Symantec планирует заключить партнерство и выпускать сертификаты через другой центр сертификации (CA), который будет выпускать сертификаты под именем Symantec, начиная с декабря этого года. Этот партнер продолжит выпускать сертификаты, пока Symantec не добавит новые корневые сертификаты в браузеры.
Это позволит Symantec продолжить выпускать доверенные сертификаты без прерывания в связи с анонсированными изменениями в Chrome.
Долгосрочный план Symantec заключается в том, чтобы добавить новый корневой сертификат во все устройства, что позволит им продолжить самостоятельно выпускать сертификаты.
Дальше мы расскажем о ключевых датах.
Когда мне нужно что-то делать?
Постепенная утрата доверия к существующим сертификатам Symantec в Chrome будет происходить в два этапа, это совпадет с выпуском Chrome версии 66 и версии 70. Сейчас в использовании версия 61.
Когда будет выпущен Chrome 66 (ожидается в середине апреля 2018 года) все сертификаты Symantec выпущенные до 1 июня 2016 года утратят доверие, если не предпринять действий. Это означает, что пользователи Chrome 66+ не смогут установить https соединение с вашим сайтом и увидят предупреждение.
Второй этап произойдет вместе выпуском Chrome 70 (ожидает в конце октября 2018 года). Все сертификаты Symantec, выпущенные с их текущим корневым сертификатом утратят доверие к этой дате, если не сделать вовремя перевыпуск.
В зависимости от даты выпуска и окончания вашего текущего сертификата вам может понадобится заменить ваш сертификат Symantec чтобы он остался доверенным во время этого периода. Это может зависеть от своевременности будущих улучшений в PKI (Public Key Infrastructure) Symantec.
Как подготовиться
Чтобы разобраться и подготовится ко всем этим событиям, мы составили табличку с ключевыми датами.
Дата (приблизительная) | Версия Chrome | Что произойдет? | Как подготовится? |
---|---|---|---|
24 октября 2017 | 62 | Chrome 62 будет отображать сообщение в инструментах разработчиков, которое поможет определить сертификаты, которых коснется утрата доверия в Chrome 66. | Зайдите на ваш сайт и откройте инструменты разработчиков в Chrome – это позволит вам определить каких сайтов коснется утрата доверия в Chrome 66. |
1 декабря 2017 | N/A | Партнерский центр сертификации (CA) начнет выпускать сертификаты для Symantec | Конечные пользователи могут увидеть незначительные изменения в процессе выпуска сертификатов. С технической точки зрения, эта дата очень важна, поскольку означает начало “новых” сертификатов Symantec. Сертификаты выпущенные после этой даты будут выпускаться с другими корневыми сертификатами и их не коснется утрата доверия в Chrome. |
17 апреля 2018 | 66 | Все сертификаты Symantec выпущенные до 1 июня 2017 года утратят доверие в Chrome. Сертификатов выпущенных после 1 июня 2016 года этот выпуск не коснется. | Замените все сертификаты Symantec выпущенные до 1 июня 2016 года к этой дате. Это можно сделать перевыпустив ваш сертификат бесплатно и установив новый сертификат вместо старого. Если ваш сертификат заканчивается примерно в это время (Апрель-Июль) вы можете захотеть продлить его, вместе перевыпуска, чтобы избежать двух замен сертификата за короткий срок. |
28 октября 2018 | 70 | Все сертификаты, выпущенные Symantec с их текущей инфраструктурой (корневыми сертификатами) утратят доверие в Chrome. | Начиная с 1 декабря этого года, вы сможете получить новые сертификаты от Symantec, которые будут выпущены их партнерским центром сертификации. Эти сертификаты, с технической стороны, будут выпущены другим центром сертификации и будут доверенными в Chrome. |
Начиная с стабильной версии Chrome 62, будет добавлено сообщение в инструменты разработчика когда сертификат утратит доверие в Chrome 66. Разработчики могут использовать этот функционал, чтобы убедится каких сертификатов на их сайте это коснется.
Вы также можете скачать Chrome Canary, ранний релиз, который позволит вам увидеть раньше эту опцию. Chrome 66 будет доступен на канале Canary в январе, что даст вам возможность увидеть ваш сайт так, как его будут видеть пользователи в стабильной версии Chrome 66 позже в течении года.
Наш рекомендованный план действий
Чтобы эти события имели минимальные последствия для вас, мы рекомендуем следующий план действий:
Если ваш сертификат заканчивается ДО декабря 2017…
Мы рекомендуем вам продлить (вместо перевыпуска) ваш сертификат до декабря. Это позволит вам иметь доверенный сертификат вплоть до октября 2018 года, когда все сертификаты Symantec выпущенные с текущим корневым сертификатом будут нуждаться в замене.
Если ваш сертификат заканчивается В ДЕКАБРЕ 2017…
Мы рекомендуем вам рассмотреть замену сертификата, чтобы избежать перерывов в работе. В данный момент, Symantec надеется найти партнерский центр сертификации CA, который будет выпускать сертификаты с 1 декабря (пятница). Если вы можете подождать, чтобы перевыпустить и заменить этот сертификат после того, как это произойдет, то скорей всего вам уже не нужно будет заменить ваш сертификат в дальнейшем до даты его окончания.
Однако, обратите внимание, что могут быть задержки, которые не позволят Symantec сделать это 1 декабря и также в это время может быть очень большое количество запросов на выпуск, что может вызвать технические сложности.
Поэтому есть определенный риск, в том, чтобы ожидать декабря для перевыпуска сертификата, который заканчивается в декабре.
Если вам нужно заменить ваш сертификат до того, как партнерский центр сертификации начнет выпускать сертификаты, вы можете заменить ваш сертификат до релиза Chrome 70 (ожидается в конце декабря 2018).
Если ваш сертификат заканчивается ПОСЛЕ 31 декабря, 2017…
Мы рекомендуем вам подождать с заменой любых ваших сертификатов до того, как партнер Symantec не начнет выпускать сертификаты (ожидается 1 декабря 2017)
После это даты вы можете начинать перевыпуск и замену сертификатов, если требуется. Если ваш сертификат заканчивается до 30 марта 2018 года, продление вашего сертификата будет самым простым вариантом для вас.
Это позволит вам заменить сертификат за один раз. Сертификатов выпущенных партнерским центром сертификации Symantec не коснутся изменения в Chrome и не будет необходимости менять их до их окончания.
Особый случай: если ваш сертификат выпущен до 1 июня 2016 года и заканчивается после 17 апреля 2018 года…
Ваша ситуация – особый случай. Ваш сертификат должен быть перевыпущен и заменен ДО релиза Chrome 66, который ожидается 17 апреля 2018 года, чтобы остаться доверенным в Chrome.
Однако, вы должны подождать до 1 декабря 2017 чтобы перевыпустить ваш сертификат. В этот день партнерский центр сертификации Symantec начнет выпускать сертификаты. Если вы подождете до этой даты, то вам нужно будет заменить сертификат только один раз.
Если вы перевыпустите сертификат до начала работы партнера Symantec, ваш сертификат будет выпущен с использованием одного из текущих корневых сертификатов и будет нуждаться в замене после октября 2018 года.