0
Google har fremlagt sine endelige forslag til at begynde mistillid Symantec-TLS-certifikater, der er udstedt, med det arbejde, at begynde, når Chrome 66 fjerner tillid fra certifikater, der er udstedt før den 1 juni 2016.
Udgivelsesdato for Chrome 66 er dømt til at være den 17 April 2018, med Symantec-certifikat ejere opmuntret af Google til at erstatte disse certifikater, enten gennem Symantec eller andet certifikat udbyder.
I midten af oktober, når Chrome 62 er udgivet, den browser developer tools vil begynde advarsel af certifikater, der er stødt på, der vil blive påvirket af mistillid.
Et år senere, da Chrome-70 er frigivet, er det foreslået, vil browseren mistillid til alle certifikater udstedt af Symantec ‘ s gamle infrastruktur, herunder dem, der er solgt efter 1 juni 2016.
“Dette omfatter udskiftning af certifikater udstedt af Symantec forud for overgangen til ikke-Symantec-drives ‘Managed Partner Infrastruktur”,” Chrome engineering vice president Darin Fisher skrev.
“Af disse datoer, der er berørt websted, vil operatørerne nødt til at have fuldt ud erstattet nogen TLS-server certifikater, der er udstedt fra Symantec’ s gamle infrastruktur, ved hjælp af en betroet CA herunder den nye Administrerede Partner Infrastruktur. Undladelse af at migrere et site til en af disse to muligheder vil resultere i brud, når Chrome 70 er udgivet.”
Ifølge Fisher, Symantec har sagt sin nye Administrerede Partner Infrastruktur vil være klar til 1. December.
Google først annoncerede sin intention om at begynde mistillid Symantec i Marts, med den oprindelige plan om at se gyldigheden vindue Symantec certifikater er gyldige til reduceret til ni måneder over en række udgivelser.
Fisher sagde, selv om tidslinjen er sluppet, det er en passende balance mellem risiko for, at brugere, og minimere forstyrrelserne.
“Denne gang vil give klare beskeder og planlægning for webstedet operatører til at opdatere certifikater,” sagde han.
“Mens vi har til hensigt at holde fast i dette skema, hvis der er nye oplysninger, der fremhæver yderligere sikkerhed risici med dette sæt af certifikater, datoer kan ændres til en mere hurtigt mistillid til de eksisterende certifikater.”
For sin del, Symantec tidligere kaldt for datoen for mistillid i sin certifikater, der er udstedt før juni 2016 at være flyttet til 1 Maj 2018.
I sidste uge, sikkerhedsekspert Hanno Böck lokket til Symantec forkert tilbagekaldelse af certifikater baseret på falske private nøgler.
Ifølge en blog indlæg skrevet af Böck, han registrerede et par domæner, der modtages gratis TLS-certifikater fra Symantec og Comodo, og skabt et sæt af falske private nøgler, der er uploadet til Pastebin for hvert domæne til at sende til det relevante certifikat udbyder, sammen med en anmodning om at tilbagekalde certifikatet, fordi dens private nøgle, som ikke var offentligt tilgængelig.
Böck begravet hans falske nøgler blandt en liste af ægte offentligt tilgængelig private nøgler, og fandt, at mens Comodo ikke tilbagekalde sit certifikat, Symantec meddelte ham, at de havde tilbagekaldt hele listen.
“Symantec gjorde en stor bommert ved at tilbagekalde et certifikat, der er baseret på helt forfalsket dokumentation,” sagde han. “Der er næppe nogen undskyldning for dette, og det angiver, at de har et certifikat myndighed uden en korrekt forståelse af den kryptografiske baggrund.”
Mere sikkerhed nyheder
Sikkerhedshul viser, 3G, 4G LTE-netværk er lige så tilbøjelige til at stingray phone tracking
Hvordan disse falske Facebook-og LinkedIn-profiler lokket folk til at friending state-backed hackere
Denne Android-spyware kan optage opkald, tage screenshots og video, mål Gmail, LinkedIn, Snapchat data
Ikke Mere Løsesum projekt, der hjælper tusindvis af ransomware ofre
0