Google publiceerde een tijdlijn onlangs is op de Google-blog, waarin wordt gewezen op de tijdlijn voor het droppen van ondersteuning voor Symantec-uitgegeven certificaten in Chrome.
Het bedrijf is van plan om drop volledige ondersteuning in Chrome 70, maar zal het wantrouwen van certificaten die zijn afgegeven vóór 1 juni 2016 al vanaf Maart 15, 2018 (Chrome 66).
De kern van de zaak rond Symantec certificaten — het bedrijf opereert onder de merknamen zoals VeriSign, Thawte, Equifac, RapidSSL of GeoTrust — is dat Symantec “toevertrouwd verschillende organisaties, met de mogelijkheid tot het afgeven van certificaten zonder de juiste of toezicht nodig”, aldus Google.
Symantec op de hoogte was van deze gebreken, en incidenten in het verleden liet zien hoe slecht het was. In 2015 bijvoorbeeld certificaten werden aangemaakt voor vijf organisaties waaronder Google en Opera zonder de kennis van de betrokken organisaties.
Symantec kwam tot een overeenkomst met DigiCert onder die DigiCert zal het verwerven van Symantec website security en PKI-oplossingen voor het bedrijfsleven.
Google van plan is om het vertrouwen te verwijderen van alle Symantec-uitgegeven certificaten in Chrome in het komende jaar. Het bedrijf publiceerde een tijdlijn met de hoogtepunten van de belangrijkste data van het proces.
- Oktober 24, 2017 — Chrome 62 Stabiele — Chrome accenten als een certificaat van een site worden gewantrouwd als Chrome 66 wordt vrijgegeven.
- December 1, 2017 — DigiCert de nieuwe infrastructuur zal worden “in staat van volledige uitgifte”. Certificaten uitgegeven door Symantec oude infrastructuur vanaf dit punt naar voren zal ophouden te werken in toekomstige updates. Dit is niet van invloed op certificaten uitgegeven door DigiCert.
- Maart 15, 2018 — Chrome 66 Beta — Een Symantec certificaat heeft uitgegeven voor 1 juni 2016 wordt gewantrouwd. Sites niet laden, maar het gooien van een certificaat alert plaats.
- September 13, 2018 — Chrome 70 Beta — Vertrouwen in Symantec de oude infrastructuur is gedaald volledig in Google Chrome. Dit is niet van invloed op DigiCert uitgegeven certificaten, maar blokkeren van een site die gebruik maakt van oude certificaten.
Lees ook: Mozilla en Google verwijderen WOT uitbreiding van Winkel
Chrome-gebruikers kunnen echt niet over dit alles, als website-exploitanten noodzaak om te schakelen naar een certificaat dat is nog vertrouwd wordt door Google als vroeg als 14 Maart 2018. De enige optie die de gebruikers van de browser is, laat het website-exploitanten weten over certificaten moeten ze zich niet bewust van deze.
Mozilla zal overeenkomen met de data voorgesteld door Google op basis van een bericht door Gervase Markham op de Mozilla-Dev Security Policy group.
Webmasters die sites met Symantec certificaten nodig toevoegen van nieuwe certificaten aan hun web eigenschappen voordat de uiterste termijn voor het waarborgen van een blijvende toegang tot deze eigenschappen. Een optie die webmasters hebben is het gebruik van Kunt Coderen en biedt een gratis en geautomatiseerde certificaten.