0
Google ha presentato la sua proposta finale per iniziare a diffidare Symantec-emessi certificati TLS, con il lavoro per iniziare quando Chrome 66 rimuove fiducia da certificati rilasciati prima del 1 ° giugno 2016.
La data di rilascio di Chrome 66 è previsto per essere il 17 aprile 2018, con Symantec certificato proprietari incoraggiati da Google per sostituire quelli certificati, sia per mezzo di Symantec o di un altro provider di certificati.
A metà ottobre, quando Chrome 62 viene rilasciato, il browser developer tools inizierà avviso di certificati rilevato che dovrà affrontare la diffidenza.
Un anno dopo, quando Chrome 70 viene rilasciato, viene proposto il browser a diffidare di qualsiasi certificato rilasciato da Symantec vecchia infrastruttura, compresi quelli venduti dopo il 1 ° giugno 2016.
“Ciò include la sostituzione di certificati emessi da Symantec prima della transizione alla non-Symantec-operati ‘Gestito Partner Infrastruttura”,” Chrome engineering vice presidente Darin Fisher ha scritto.
“Da queste date, il sito interessato, gli operatori dovranno avere completamente sostituito qualsiasi TLS server di certificati rilasciati da Symantec vecchia infrastruttura, utilizzando qualsiasi CA attendibile tra cui il nuovo Gestiti Partner Infrastrutture. La mancata migrazione di un sito di una di queste due opzioni di provocare una rottura quando Chrome 70 è uscito.”
Secondo Fisher, Symantec ha detto che il suo nuovo Gestiti Partner Infrastruttura sarà pronto entro il 1 dicembre.
Google ha annunciato la sua intenzione di iniziare a diffidare di Symantec nel mese di Marzo, con il piano originale per vedere la validità finestra Symantec certificati sono validi per ridotta a nove mesi nel corso di una serie di rilasci.
Fisher ha detto anche che la timeline è scivolato, è un giusto equilibrio tra i rischi per gli utenti, e ridurre al minimo disturbo.
“Questa volta permetterà di cancellare messaggi e di pianificazione per gli operatori del sito per aggiornare i certificati”, ha detto.
“Mentre abbiamo intenzione di attaccare con questo programma, se ci sono nuove informazioni che evidenziano ulteriori rischi per la sicurezza con questo set di certificati, le date potrebbero cambiare più rapidamente di sfiducia i certificati esistenti.”
Per parte sua, Symantec, precedentemente chiamato per la data di sfiducia nei suoi certificati rilasciati prima del giugno 2016, per essere spostato al 1 ° Maggio del 2018.
La scorsa settimana, il ricercatore di sicurezza Hanno Böck ingannato Symantec in modo non corretto la revoca dei certificati contraffatti chiavi private.
Secondo un post sul blog scritto da Böck, ha registrato un paio di domini, ricevuti in omaggio certificati TLS da Symantec e Comodo, e ha creato una serie di falsi chiavi private caricato su Pastebin per ogni dominio di inviare il certificato appropriato provider, insieme con una richiesta di revoca del certificato, perché la sua chiave privata è visibile pubblicamente.
Böck sepolto il suo falso chiavi tra un elenco di genuino pubblicamente le chiavi private, e ha scoperto che, mentre Comodo non revocare il certificato, Symantec lo informò che aveva revocato l’intero elenco.
“Symantec ha fatto un errore più grossolano per la revoca di un certificato in base completamente forgiato prove,” ha detto. “Non c’è quasi più nessuna scusa per questo e indica che operano un certificato di autorità senza una corretta comprensione di crittografia di sfondo.”
Più notizie di sicurezza
Falla di sicurezza mostra 3G, 4G LTE reti sono inclini a stingray telefono cellulare di monitoraggio
Come questi falsi Facebook e LinkedIn profili ingannato il dare amicizia a persone in stato-backed hacker
Questo Android spyware in grado di registrare le chiamate, prendere screenshot e video, obiettivi di Gmail, LinkedIn, Snapchat dati
Non Più Riscatto progetto consente di migliaia di vittime ransomware
0