Сертифікати Symantec втратить довіру у браузері Chrome. Що робити та як підготуватися?
Кого торкнуться зміни, що відбудуться у 2018 році
У березні команда Google Chrome повідомила про проблеми та порушення стандартів у процедурі випуску сертифікатів у компанії Symantec. Ця проблема обговорювалася останні 4 місяці між Google, Symantec та іншими членами інтернет-ком’юніті. Компанія Google і Mozilla планували розпочати процес втрати довіри до сертифікатів Symantec, у зв’язку з численними порушеннями в процесі валідації клієнтів, при випуску сертифікатів EV (Extended Validation).
Наприкінці липня, Chrome та Symantec анонсували їхній остаточний план щодо вирішення ситуації. І початковий крайній термін 8 серпня 2017 тепер не дійсний.
Якщо ви керуєте сайтом, який використовує сертифікати Symantec, будь ласка, ознайомтесь з цим матеріалом, щоб бути в курсі чи торкнеться вас зміни, які будуть у майбутніх версіях браузера Chrome і як ви можете замінити безкоштовно сертифікат, до набрання чинності змінами. Це торкнеться меншої кількості користувачів, ніж спочатку передбачалося, і в цьому матеріалі ми підготували інструкцію як уникнути проблем, пов’язаних із цими змінами.
Цей матеріал насамперед призначений для власників та адміністраторів сайтів, які використовують будь-який сертифікат компанії Symantec. Для кінцевих користувачів нічого робити не доведеться.
Чи торкнеться мене ця проблема?
Якщо ви зараз використовуєте сертифікат Symantec або плануєте замовляти такий у 2017 році, це може стосуватися вас.
Зверніть увагу, що компанія Symantec керує безліччю брендів і ця інформація стосується всіх. А саме:
Також зверніть увагу, що Mozilla Firefox планує вжити схожих дій щодо втрати довіри до сертифікатів у їхньому браузері, але вони поки що не озвучили остаточний план.
Немає причин для паніки – до 2018 року жодних змін не буде , тому все ще є достатньо часу, щоб підготуватися.
Chrome видалятиме довіру до сертифікатів Symantec у два етапи. Перший етап стосуватиметься сертифікатів, випущених до 1 червня 2016 року. Другий етап торкнеться всіх сертифікатів Symantec, випущених з використанням їх поточних кореневих сертифікатів – включаючи сертифікати, які ще не випущені.
Щоб відповідати плану Google, потрібно замінити поточні сертифікати Symantec, скориставшись безкоштовним процесом перевипуску. Ви можете зробити це з мінімальними перериваннями в роботі.
Примітка: наші клієнти отримають повідомлення електронною поштою з інформацією про необхідні дії.
Чому це відбувається?
В результаті порушення стандартів, Google Chrome прийняв рішення, що поточні кореневі сертифікати Symantec, повинні бути переглянуті в Chrome. Йдеться про те, що було неправильно випущено ряд тестових сертифікатів. Google використовує це як аргументи, що всі сертифікати Symantec тепер під підозрою.
Нам здається, що це надмірна реакція, але ми намагаємося повідомити наших клієнтів, щоб це мінімально торкнулося їхнього бізнесу.
В результаті позиції Google багато SSL сертифікатів Symantec втратить довіру в браузері Chrome і при заході на сайти з такими сертифікатами – користувачі будуть бачити помилки в браузері.
Це відбудеться у два етапи, перший розпочнеться у квітні 2018 року, а другий у жовтні 2018 (ми розповімо докладніше про етапи нижче).
Symantec планує укласти партнерство та випускати сертифікати через інший центр сертифікації (CA), який випускатиме сертифікати під ім’ям Symantec, починаючи з грудня цього року. Цей партнер продовжить випускати сертифікати, доки Symantec не додасть нових кореневих сертифікатів у браузери.
Це дозволить Symantec продовжити випускати довірені сертифікати без переривання через анонсовані зміни в Chrome.
Довгостроковий план Symantec полягає в тому, щоб додати новий кореневий сертифікат до всіх пристроїв, що дозволить їм продовжити самостійно випускати сертифікати.
Далі ми розповімо про ключові дати.
Коли я маю щось робити?
Поступова втрата довіри до існуючих сертифікатів Symantec у Chrome відбуватиметься у два етапи, це співпадає з випуском Chrome версії 66 та версії 70. На даний момент у використанні версія 61.
Коли буде випущений Chrome 66 (очікується в середині квітня 2018) всі сертифікати Symantec випущені до 1 червня 2016 втратить довіру, якщо не вжити дій. Це означає, що користувачі Chrome 66+ не зможуть встановити з’єднання https з вашим сайтом і побачать попередження.
Другий етап відбудеться разом із випуском Chrome 70 (очікує наприкінці жовтня 2018 року). Усі сертифікати Symantec, випущені з їх поточним кореневим сертифікатом, втратять довіру до цієї дати, якщо не зробити вчасно перевипуск.
Залежно від дати випуску та закінчення вашого поточного сертифіката вам може знадобитися замінити ваш сертифікат Symantec, щоб він залишився довіреним під час цього періоду. Це може залежати від своєчасності майбутніх покращень у PKI (Public Key Infrastructure) Symantec.
Як підготуватися
Щоб розібратися та підготуватися до всіх цих подій, ми склали табличку з ключовими датами.
| Дата приблизна | Версія Chrome | Що трапиться? | Як підготуватись? |
|---|---|---|---|
| 24 жовтня 2017 | 62 | Chrome 62 відображатиме повідомлення в інструментах розробників, яке допоможе визначити сертифікати, яких торкнеться втрата довіри в Chrome 66. | Зайдіть на ваш сайт і відкрийте інструменти розробників у Chrome – це дозволить вам визначити, які сайти торкнеться втрата довіри в Chrome 66. |
| 1 грудня 2017 | N/A | Партнерський центр сертифікації (CA) почне випускати сертифікати для Symantec | Кінцеві користувачі можуть бачити незначні зміни в процесі випуску сертифікатів. З технічної точки зору, ця дата є дуже важливою, оскільки означає початок ‘нових’ сертифікатів Symantec. Сертифікати, випущені після цієї дати, будуть випускатися з іншими кореневими сертифікатами і їх не торкнеться втрата довіри в Chrome. |
| 17 квітня 2018 | 66 | Всі сертифікати Symantec, випущені до 1 червня 2017 року, втратять довіру в Chrome. Сертифікатів, що випущені після 1 червня 2016 року цей випуск не торкнеться. | Замініть усі сертифікати Symantec, випущені до 1 червня 2016 року до цієї дати. Це можна зробити, перевипустивши ваш сертифікат безкоштовно і встановивши новий сертифікат замість старого. Якщо ваш сертифікат закінчується приблизно в цей час (Квітень-липень), ви можете захотіти продовжити його, разом перевипуску, щоб уникнути двох замін сертифіката за короткий термін. |
| 28 жовтня 2018 | 70 | Всі сертифікати, випущені Symantec зі своєю поточною інфраструктурою (кореневими сертифікатами) втратить довіру в Chrome. | Починаючи з 1 грудня цього року ви зможете отримати нові сертифікати від Symantec, які будуть випущені їх партнерським центром сертифікації. Ці сертифікати, з технічного боку, будуть випущені іншим центром сертифікації та будуть довірені до Chrome. |
Починаючи з стабільної версії Chrome 62, буде додано повідомлення до інструментів розробника, коли сертифікат втратить довіру в Chrome 66. Розробники можуть використовувати цей функціонал, щоб переконатися, які сертифікати на їхньому сайті це торкнеться.
Ви також можете завантажити Chrome Canary , ранній реліз, який дозволить вам побачити раніше цю опцію. Chrome 66 буде доступний на каналі Canary в січні, що дасть вам можливість побачити ваш сайт так, як його бачитимуть користувачі в стабільній версії Chrome 66 пізніше протягом року.
Наш рекомендований план дій
Щоб ці події мали мінімальні наслідки для вас, ми рекомендуємо наступний план дій:
Якщо ваш сертифікат закінчується ДО грудня 2017 року.
Ми рекомендуємо вам продовжити (замість перевипуску) сертифікат до грудня. Це дозволить вам мати довірений сертифікат аж до жовтня 2018 року, коли всі сертифікати Symantec, випущені з поточним кореневим сертифікатом, будуть потребувати заміни.
Якщо ваш сертифікат закінчується У ГРУДНІ 2017…
Ми рекомендуємо вам розглянути заміну сертифікату, щоб уникнути перерв у роботі. В даний момент Symantec сподівається знайти партнерський центр сертифікації CA, який випускатиме сертифікати з 1 грудня (п’ятниця). Якщо ви можете почекати, щоб перевипустити і замінити цей сертифікат після того, як це відбудеться, то швидше за все вам не потрібно буде замінити ваш сертифікат надалі до дати його закінчення.
Однак, зверніть увагу, що можуть бути затримки, які не дозволять Symantec зробити це 1 грудня і також в цей час може бути дуже багато запитів на випуск, що може викликати технічні складності.
Тому є певний ризик у тому, щоб очікувати грудня для перевипуску сертифікату, який закінчується у грудні.
Якщо вам потрібно замінити ваш сертифікат до того, як партнерський центр сертифікації почне випускати сертифікати, ви можете замінити сертифікат до релізу Chrome 70 (очікується в кінці грудня 2018).
Якщо ваш сертифікат закінчується ПІСЛЯ 31 грудня, 2017…
Ми рекомендуємо вам почекати із заміною будь-яких сертифікатів до того, як партнер Symantec не почне випускати сертифікати (очікується 1 грудня 2017)
Після цієї дати ви можете починати перевипуск та заміну сертифікатів, якщо потрібно. Якщо ваш сертифікат закінчується до 30 березня 2018 року, продовження сертифіката буде найпростішим варіантом для вас.
Це дозволить замінити сертифікат за один раз. Сертифікати випущених партнерським центром сертифікації Symantec не торкнуться змін у Chrome і не буде потреби змінювати їх до закінчення.
Особливий випадок: якщо ваш сертифікат випущено до 1 червня 2016 року і закінчується після 17 квітня 2018 року.
Ваша ситуація – особливий випадок. Ваш сертифікат повинен бути перевипущений та замінений до релізу Chrome 66, який очікується 17 квітня 2018 року, щоб залишитися довіреним у Chrome.
Однак, ви повинні почекати до 1 грудня 2017, щоб перевипустити ваш сертифікат. Цього дня партнерський центр сертифікації Symantec розпочне випуск сертифікатів. Якщо ви зачекатимете до цієї дати, то вам потрібно буде замінити сертифікат лише один раз.
Якщо ви перевипустите сертифікат до початку роботи партнера Symantec, ваш сертифікат буде випущений з використанням одного з поточних кореневих сертифікатів та потребуватиме заміни після жовтня 2018 року.
