Google har offentliggjort en tidslinje for nylig på Google Security blog, som fremhæver den tidslinje for at droppe støtte til Symantec-certifikater, der er udstedt i Chrome.
Virksomheden har planer om at droppe fuld støtte i Chrome 70, men vil mistillid til de attester, der er udstedt før 1 juni 2016 så tidligt som i Marts 15, 2018 (Chrome 66).
Kernen i spørgsmålet omkring Symantec certifikater — virksomheden opererer under navne såsom VeriSign, Thawte, Equifac, RapidSSL eller GeoTrust — er, at Symantec “betroet flere organisationer med evnen til at udstede certifikater, uden at det er hensigtsmæssigt eller nødvendigt tilsyn” ifølge Google.
Symantec blev opmærksom på disse sikkerheds-fejl og mangler, og hændelser i fortiden viste bare hvor slemt det var. I 2015 for eksempel, certifikater blev skabt, der dækker fem organisationer, herunder Google og Opera, uden kendskab til de organisationer, der er involveret.
Symantec kom til en aftale med DigiCert, under hvilke DigiCert vil erhverve Symantec ‘ s hjemmeside, sikkerhed og PKI-løsninger for virksomheder.
Google har planer om at fjerne tillid fra alle Symantec-certifikater, der er udstedt i Chrome i de kommende år. Selskabet offentliggjorde en tidslinje, der fremhæver de mest vigtige datoer i processen.
- 24 oktober 2017 — Chrome 62 Stabil — Chrome højdepunkter, hvis et certifikat på et websted, vil være mistillid, når Chrome 66 bliver frigivet.
- 1. December 2017 — DigiCert ‘s nye infrastruktur vil være i stand til fuld udstedelse”. Certifikater, der er udstedt af Symantec ‘ s gamle infrastruktur fra dette punkt fremad, vil ophøre med at arbejde i fremtidige opdateringer. Dette vil ikke påvirke certifikater, der er udstedt af DigiCert.
- Marts 15, 2018 — Chrome 66 Beta — Symantec-certifikat, der er udstedt før 1 juni 2016, hvor der er mistillid. Websites indlæses ikke, men kast et certifikat advarsel i stedet.
- September 13, 2018 — Chrome 70 Beta — Tillid til Symantec ‘ s gamle infrastruktur er faldet helt i Google Chrome. Dette vil ikke påvirke DigiCert udstedte certifikater, men vil blokere et websted, der bruger gamle certifikater.
Læs også: Mozilla og Google fjerne WOT udvidelse fra Butik
Chrome brugere kan ikke rigtig gøre noget ved det, som hjemmesiden er nødt til at skifte til et certifikat, der er stadig tillid til Google så tidligt som i Marts 14, 2018. Den eneste mulighed for, at brugere af browseren har, er at lade hjemmesiden vide om certifikat spørgsmål bør de ikke være klar over dette.
Mozilla vil matche de datoer, der er foreslået af Google i henhold til et indlæg af Gervase Markham på Mozilla-Dev sikkerhedspolitik gruppe.
Webmastere, der kører websteder med Symantec certifikater har brug for at tilføje nye certifikater til deres web-egenskaber, før fristen for at sikre fortsat adgang til disse egenskaber. En mulighed, som webmastere har, er at bruge Kan Kryptere, der tilbyder gratis og automatiseret certifikater.