Google ut en tidslinje nylig på Google Security blogg som fremhever tidslinjen for å slippe støtte for Symantec-utstedte sertifikater i Chrome.
Selskapet planlegger å slippe full støtte i Chrome 70, men vil mistillit sertifikater som er utstedt før 1. juni 2016 så tidlig som i Mars 15, 2018 (Chrome 66).
Kjernen av problemet rundt Symantec sertifikater — virksomheten opererer under merkenavn som VeriSign, Thawte Equifac, RapidSSL eller GeoTrust — er at Symantec “betrodd flere organisasjoner med evne til å utstede sertifikater uten passende eller nødvendig tilsyn” i henhold til Google.
Symantec var klar over disse security mangler og hendelser i fortiden har vist hvor ille det var. I 2015 for eksempel sertifikater ble opprettet som dekker fem organisasjoner, inkludert Google og Opera uten kunnskap om organisasjoner som er involvert.
Symantec kom til en avtale med DigiCert under hvilke DigiCert vil få Symantecs webområde sikkerhet og PKI-løsninger for virksomheten.
Google planer om å fjerne tillit fra alle Symantec-utstedte sertifikater i Chrome i året som kommer. Selskapet utgitt en tidslinje som fremhever de viktigste datoene for prosessen.
- Oktober 24, 2017 — Chrome 62 Stabil — Chrome høydepunkter hvis et sertifikat fra et webområde, vil bli avvist når Chrome 66 blir lansert.
- 1. desember 2017 — DigiCert er ny infrastruktur vil være egnet til full utstedelse”. Sertifikater utstedt av Symantecs gammel infrastruktur fra dette punktet fremover vil slutte å jobbe i fremtidige oppdateringer. Dette vil ikke påvirke sertifikater utstedt av DigiCert.
- Mars 15, 2018 — Chrome 66 Beta-Alle Symantec utstedt sertifikat før 1. juni 2016 er avvist. Nettsteder vil ikke laste, men kaste et sertifikat varsel i stedet.
- September 13, 2018 — Chrome 70 Beta — Tillit i Symantecs gammel infrastruktur er falt helt i Google Chrome. Dette vil ikke påvirke DigiCert utstedte sertifikater, men vil blokkere et nettsted som bruker gamle sertifikater.
Les også: Nettlesere lekkasje installerte utvidelser til nettsteder
Chrome-brukere kan egentlig ikke gjøre noe om dette, som nettstedet operatører trenger du å bytte til et sertifikat som fortsatt er klarert av Google så tidlig som i Mars 14, 2018. Det eneste alternativet som brukere av nettleseren har er å la nettstedet operatører vet om sertifikatet problemer bør de ikke være klar over dette.
Mozilla vil matche den datoer er foreslått av Google i henhold til et innlegg av Gervase Markham på Mozilla-Dev Security Policy group.
Webmastere som driver nettsteder med Symantec sertifikater trenger for å legge til nye sertifikater til sine web egenskaper før fristen for å sikre fortsatt tilgang til disse egenskapene. Ett alternativ som webmastere har er å bruke Kan Kryptere som tilbyr gratis og automatisert sertifikater.