0
Google hat vorgeschlagen, seinen endgültigen Vorschlag zu beginnen, misstrauisch, Symantec-TLS-Zertifikate ausgestellt, mit der Arbeit zu beginnen, wenn Chrome 66 entfernt, Vertrauen, Zertifikate, ausgestellt vor dem 1. Juni 2016.
Das release-Datum für Chrome 66 vorgesehen, April 17, 2018, mit Symantec-Zertifikat-Besitzer ermutigt durch Google solche zu ersetzen, die Zertifikate, sei es durch Symantec-oder andere Zertifikats-Anbieter.
Mitte Oktober, wenn Chrome 62 freigegeben wird, der browser-Entwickler-tools beginnen Warnung von Zertifikaten festgestellt werden belastet durch das Misstrauen.
Ein Jahr später, wenn der Chrome 70 freigegeben wird, wird vorgeschlagen, den browser Misstrauen jedem Zertifikat von Symantec alten Infrastruktur, einschließlich derjenigen, verkauft nach dem 1. Juni 2016.
“Dies umfasst alle Ersatz-Zertifikate von Symantec vor dem übergang in die nicht-Symantec-betrieben “Managed Partner “Infrastruktur”,” Chrome-engineering-Vizepräsident Darin Fisher schrieb.
“Durch diese Termine betroffene Website-Betreiber müssen komplett ausgetauscht jedem TLS-server-Zertifikate von Symantec alten Infrastruktur, mit einer vertrauenswürdigen ZERTIFIZIERUNGSSTELLE einschließlich der neuen Managed Partner Infrastruktur. Fehler beim migrieren einer Website auf eine dieser beiden Optionen wird das Ergebnis in Bruch, wenn Chrome 70 freigegeben wird.”
Laut Fisher, hat Symantec sagte, dass seine neuen Managed Partner-Infrastruktur bereit, die von 1. Dezember.
Google zunächst angekündigt, seine Absicht zu beginnen, misstrauisch Symantec im März, mit dem ursprünglichen plan zu sehen, die Gültigkeit Fenster ” Symantec-Zertifikate gültig waren, für geringere bis neun Monaten über eine Reihe von releases.
Fisher sagte, obwohl die timeline gerutscht ist, ist es, eine angemessene balance zwischen der Gefahr für die Nutzer und die Minimierung von Störungen.
“Dieses mal zulassen wird klar, messaging und Terminplanung für Website-Betreiber die Aktualisierung der Zertifikate”, sagte er.
“Wir wollen mit dieser Liste stecken, wenn es neue Informationen gibt, die Hervorhebung zusätzliche Sicherheitsrisiken mit diesem Satz von Zertifikaten, die Daten verändern könnte, um mehr schnell Misstrauen der vorhandenen Zertifikate.”
Für seinen Teil, Symantec zuvor genannt, für die das Datum des Misstrauens in Ihr ausgestellten Zertifikate, die vor Juni 2016 verschoben werden, um den 1. Mai 2018.
Letzte Woche, Sicherheits-Forscher Hanno Böck ausgetrickst Symantec zu falsch Widerruf von Zertifikaten basierend auf gefälschten, privaten Schlüssel.
Laut einem blog-post geschrieben von Böck, er registriert ein paar domains, erhielten Kostenlose TLS-Zertifikate von Symantec und Comodo, und erzeugt eine Reihe von gefälschten private Schlüssel hochgeladen Pastebin für jede Domäne zu senden, um die entsprechende Zertifikat-Anbieter, zusammen mit einem Antrag auf Widerruf der Bescheinigung, da seine privaten Schlüssel öffentlich sichtbar ist.
Böck begraben seine gefälschte Schlüssel in die Liste der echten öffentlich einsehbaren privaten Schlüssel, und fand, dass, während Comodo nicht widerrufen Sie Ihr Zertifikat von Symantec teilte ihm mit, Sie hätten widerrufen die gesamte Liste.
“Symantec hat einen großen Fehler durch Widerruf eines Zertifikats basiert auf völlig geschmiedet Beweise”, sagte er. “Es gibt kaum eine Entschuldigung für diese, und es zeigt, dass Sie ein “certificate authority” ohne ein richtiges Verständnis der kryptografische hintergrund.”
Mehr Sicherheit news
Sicherheitslücke zeigt, 3G -, 4G-LTE-Netze sind nur so anfällig für stingray-Telefon-tracking
Wie diese fake-Facebook-und LinkedIn-profile betrogen Menschen in friending state-backed-Hacker
Diese Android spyware kann Anrufe aufzeichnen, screenshots und Videos, Ziele, Gmail, LinkedIn, Snapchat-Daten
Nicht Mehr Lösegeld Projekt hilft, Tausende von Erpresser-Opfer
0