0
Google heeft aangevoerd dat zijn definitieve voorstel om te beginnen met het wantrouwen van Symantec-TLS uitgegeven certificaten, met het werk te beginnen wanneer Chrome 66 verwijdert vertrouwen van certificaten die zijn afgegeven voor 1 juni 2016.
De release datum voor Chrome 66 is gepland voor April 17, 2018, met een Symantec certificaat eigenaren gestimuleerd door Google vervanging van die certificaten, hetzij door Symantec of een andere provider certificaat.
In mid-oktober, wanneer Chrome 62 is uitgebracht, de browser, de ontwikkelaar van tools zal beginnen met de waarschuwing van certificaten aangetroffen, die zal worden beïnvloed door het wantrouwen.
Een jaar later, toen Chrome 70 is uitgebracht, wordt voorgesteld de browser zal het wantrouwen van een certificaat dat is uitgegeven door Symantec oude infrastructuur, met inbegrip van de producten die worden verkocht na 1 juni 2016.
“Dit geldt ook voor de eventuele vervanging van certificaten uitgegeven door Symantec voorafgaand aan de overgang naar de niet-Symantec-operated ‘Managed Partner Infrastructuur”,” Chrome engineering vice-president Darin Fisher schreef.
“Door deze data worden beïnvloed site exploitanten moet volledig vervangen TLS-server afgegeven certificaten van Symantec de oude infrastructuur, het gebruik van een vertrouwde CERTIFICERINGSINSTANTIE, waaronder de nieuwe Managed Partner Infrastructuur. Falen om te migreren van een site op een van deze twee opties zal resulteren in breuk wanneer Chrome 70 is uitgebracht.”
Volgens Fisher, Symantec heeft gezegd dat de nieuwe Managed Partner Infrastructuur zal klaar zijn tegen 1 December.
Google kondigde zijn voornemen om te beginnen met het wantrouwen van Symantec in Maart, met het oorspronkelijke plan om de geldigheid venster Symantec certificaten zijn geldig voor gereduceerd tot negen maanden over een reeks van releases.
Fisher zei dat ook al in de tijdlijn is geglipt, is een juiste balans tussen de risico ‘ s voor de gebruikers, en de minimale verstoring.
“Deze keer zal duidelijke berichten en plannen voor website-exploitanten bijwerken van certificaten,” zei hij.
“We willen aan de stok met dit schema, als er nieuwe informatie over extra veiligheidsrisico’ s met deze set van certificaten, de data kunnen nog veranderen sneller wantrouwen tegen de bestaande certificaten.”
Voor zijn deel, Symantec eerder genoemd, voor de datum van wantrouwen in de certificaten uitgegeven voor juni 2016 worden verplaatst naar 1 Mei 2018.
Vorige week, security-onderzoeker Hanno Böck bedrogen Symantec in verkeerd intrekken van certificaten op basis van vervalste private sleutels.
Volgens een blogpost geschreven door Böck, hij is geregistreerd voor een paar domeinen, ontvangen gratis TLS-certificaten van Symantec en Comodo, en creëerde een reeks van nep-private sleutels worden geüpload naar Pastebin voor elk domein te sturen naar de juiste provider certificaat, samen met een verzoek tot intrekking van het certificaat, omdat de private key is publiekelijk zichtbaar zijn.
Böck begraven zijn valse sleutels onder een lijst van echte publiekelijk toegankelijke privé-sleutels, en vond dat terwijl Comodo niet intrekken van het certificaat, Symantec deelde hem mee dat zij had ingetrokken, wordt de hele lijst.
“Symantec heeft een grote blunder door het intrekken van een certificaat op basis van volledig gesmeed bewijs,” zei hij. “Er is nauwelijks een excuus voor dit en geeft aan dat ze werken een certificaat autoriteit zonder een goed begrip van de cryptografische achtergrond.”
Meer nieuws over beveiliging
Lek toont 3G, 4G LTE-netwerken zijn net zo gevoelig voor stingray telefoon volgen
Hoe deze nep-Facebook-en LinkedIn-profielen in de maling nemen mensen in friending state-back-hackers
Deze Android spyware kan het opnemen van gesprekken, het maken van schermafbeeldingen en video, doelen Gmail, LinkedIn, Snapchat gegevens
Niet Meer Losgeld project helpt duizenden slachtoffers van ransomware
0