Постепенного отказа в доверии и перевыдачи старых сертификатов Symantec SSL, отмены статуса EV, а также уменьшении срока действия будущих сертификатов до ≤9 месяцев. Это результат расследования инцидентов с сертификатами, которые были выданы без разрешения владельцев, и действующих практик в компании.

Расследование Google продолжалось два месяца с января по март 2017 года. Чем дольше оно продолжалось, тем больше вопросов возникало к Symantec и вскрывалось нарушений в выдаче сертификатов. Ещё не стёрлась из памяти история 2015 года , когда Symantec самовольно выпустил сертификат на домены Google, Opera и ещё нескольких организаций.

Тогда Symantec объяснила свои действия следующим образом: «Небольшое количество тестовых сертификатов было некорректно выпущено для внутреннего пользования во время тестирования. Все из этих тестовых сертификатов и ключей были все время под нашим контролем и были незамедлительно отозваны, когда мы узнали о проблеме. Не было никакого воздействия на какие-либо домены и никакой опасности для сети Интернет». Сотрудники, нарушившие политики и допустившие данный инцидент, были уволены.

Однако проведённый аудит выявил 187 сертификатов на существующие домены, выданные без ведома владельцев, и 2458 сертификатов на несуществующие домены.

После того инцидента стало ясно, что у Symantec с безопасностью совсем плохо. Компания Google потребовала от неё выполнения ряда мер, в том числе поддержки всеми новыми сертификатами фреймворка Certificate Transparency , проведения дополнительного аудита, публикации отчёта по инциденту, привлечения независимых аудиторов.

Прошло чуть больше года с момента прошлого инцидента - и сейчас Google снова вернулась к провинившемуся центру сертификации Symantec на предмет проверки его соответствия правилам Root Certificate Policy в браузере Chrome.

С самого начала стало понятно, что дела в компании не сильно улучшились. В начале расследования рассматривался первоначальный набор из 127 сертификатов, но в свете вскрывшихся нарушений его расширили до 30 000 штук, выданных за несколько лет.

Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги:

• Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome от любых дальнейших некорректных выдач, которые могут возникнуть.
• Постепенный отказ в доверии, охватывающий несколько выпусков Google Chrome, всем ранее выданным сертификатам Symantec, с требованием повторного подтверждения и замены.
• Отказ в признании статуса EV (Extended Validation) для сертификатов, выданных Symantec, до тех пор, пока сообщество не будет уверено в правилах и практике Symantec, но не ранее чем через 1 год».

Постепенное сокращение признанного срока действия вновь выданных сертификатов Symantec предлагается реализовать следующим образом:

• Chrome 59 (Dev, Beta, Stable): 33 месяца (1023 дня)
• Chrome 60 (Dev, Beta, Stable): 27 месяцев (837 дней)
• Chrome 61 (Dev, Beta, Stable): 21 месяц (651 день)
• Chrome 62 (Dev, Beta, Stable): 15 месяцев (465 дней)
• Chrome 63 (Dev, Beta): 9 месяцев (279 дней)
• Chrome 63 (Stable): 15 месяцев (465 дней) - эта версия выходит на рождественских каникулах, когда во многих компаниях выходные
• Chrome 64 (Dev, Beta, Stable): 9 месяцев (279 дней)

По мнению Google, перечисленные меры «позволят гарантировать, что уровень гарантий сертификатов Symantec соответствует ожиданиям Google Chrome и экосистемы, и что риски от прошлых и возможных будущих нарушений сведены к минимуму, насколько это возможно».

Нужно понимать, что Symantec - один из крупнейших центров сертификации в интернете. Так, в январе 2015 года более 30% всех сертификатов в Сети были выданы именно этим центров. Правда, с тех пор произошли значительные изменения. Сейчас лидером является Comodo с 42,7%, а доля Symantec

В организации работы инфраструктуры, нарушениями при подготовке отчётности и злоупотреблениями , которые привели к выдаче сертификатов уровня EV (Extended Validation) без требуемых проверок, в настоящее время Google и Mozilla планируют процесс утраты доверия к сертификатам Symantec .

Компания Symantec согласилась с 1 декабря 2017 года ввести в строй новый процесс выдачи сертификатов, при котором компания не будет иметь своего корневого сертификата и будет выступать агентом другого удостоверяющего центра, выполняя роль SubCA (Subordinate Certificate Authority), работающего под внешним контролем (Managed CA). Сертификаты Symantec, выданные после 1 декабря 2017 года, не будут подпадать под блокировку и, судя по всему, продолжат работу.

В 2010 году Symantec за сумму в 1.28 млрд долларов приобрёл бизнес аутентификации у компании VeriSign, став, таким образом, одним из крупнейших удостоверяющих центров (с долей в 14% всех сертификатов в мире). Однако даже такие масштабы (и ожидаемые в связи с этим рост внимания к собственным инфраструктуре и процессам) не позволили компании вести бизнес полностью корректно, что привело, в конце концов, к множественным претензиям со стороны производителей браузеров.

В частности, очень острой оказалась ситуация с выдачей EV-сертификатов. Как известно, сертификаты уровня Extended Validation (EV) подтверждают заявленные параметры идентификации владельца, и, по правилам, для их получения требуется проведение проверки документов о принадлежности домена, а также физическое присутствие владельца ресурса. В случае Symantec подобная проверка не проводилась должным образом, т.е. нет гарантии, что полномочия владельца всегда проверялись. Весной 2017 года в Google обратили внимание на то, что Symantec предоставил доступ к инфраструктуре удостоверяющего центра как минимум четырём сторонним организациям, которым предоставлены полномочия по выдаче сертификатов. При этом компания Symantec не обеспечила должный уровень надзора за ними и допустила несоблюдение ими установленных стандартов обслуживания.

В ответ на запросы, компания Symantec также не могла предоставить в установленные сроки отчёты с разбором имевшихся инцидентов. В частности, исследователями безопасности было выявлено, что в январе 2017 удостоверяющим центром Symantec были сгенерированы 108 неправильно выданных сертификатов. Ранее, компания Symantec уже была вовлечена в скандал, связанный с выдачей сертификатов посторонним на чужие домены, в частности осенью 2015 года было уволено (ссылка на архивную копию страницы) несколько сотрудников, которые были уличены в выдаче тестовых сертификатов на домены (в том числе на домены google.com , gmail.com и gstatic.com ), без получения согласия владельцев доменов - неудивительно, таким образом, что Google отнеслась к ситуации без лишней сердечности.

Для того, чтобы сгладить последствия прекращения доверия к сертификатам Symantec и предоставить пользователям время обновить свои сертификаты, разработчики Chrome пошли на компромисс и согласились провести процесс поэтапно, дав Symantec возможность перестроить свои организационные процессы, устранить проблемы в инфраструктуре и перейти на новые корневые сертификаты.

Первый этап прекращения доверия запланирован на выпуск Chrome 66 , релиз которого ожидается 17 апреля 2018 года. На этом этапе будет утрачено доверие к сертификатам Symantec, выписанным до 1 июня 2016 года. Следует отметить, что в Mozilla обсуждается предложение по применению первого этапа блокировки, начиная с 1 декабря 2017 года, т.е. на четыре месяца раньше, но, скорее всего, окончательно будет утверждена дата близкая к апрелю 2018 года. Google также рассматривал возможность блокировки в октябрьском и декабрьском выпусках Chrome 62 и 63, но отложил блокировку до Chrome 66, приняв во внимание пожелания отрасли.

Полное прекращение поддержки сертификатов Symantec ожидается в Chrome 70 (запланирован на 23 октября 2018 года). Mozilla планирует полностью прекратить доверие к сертификатам Symantec в Firefox 63 (16 октября 2018) или 64 (27 ноября 2018). Для избежания проблем, сайтам, имеющим сертификаты Symantec, рекомендуется не затягивать с обновлением сертификата. Утрата доверия также затронет сертификаты удостоверяющих центров GeoTrust, Thawte и RapidSSL, которые были связаны цепочкой доверия с корневым сертификатом Symantec.

В дальнейшем Symantec сможет параллельно провести полную реструктуризацию своей инфраструктуры, устранив слабые места в текущей цепочке взаимодействия с подчинёнными организациями и партнёрами, которым делегированы права выдачи сертификатов. Symantec также не исключает возможность продажи подразделения, занимающегося выдачей сертификатов.

Вот так, компания, столько успешно умудрявшаяся продавать саму идею безопасности, уже не в первый раз оказывает в центре скандалов и проблем, связанных с предлагаемыми ею решениями.

Что делать, если вы купили сертификат у Symantec или у одной из связанных с ними компаний? Выполнить штатный перевыпуск сертификата у своего CA. При заказе напрямую это делается на сайте CA, при заказе через партнёра можно перевыпустить на сайте партнёра или на централизованном

В конце июля Google объявила о том, что будет поэтапно блокировать SSL группы Symantec. Мы подробно расскажем, что делать владельцам их сертификатов.

Раскладываем план Google по полочкам и разбираемся, что и когда делать владельцам SSL-сертификатов от удостоверяющего центра Symantec.

В конце июля 2017 года Google объявила о том, что будет поэтапно блокировать SSL-сертификаты группы Symantec. Мера беспрецедентная — Symantec занимает 3 место в мире по выдаче SSL. В том числе и наши клиенты покупают панель ISPmanager вместе с этими сертификатами. Поэтому последние 2 недели мы каждый день отвечаем на вопрос, как решение Google повлияет на сайты. Мы разобрались в ситуации и подробно расскажем, что делать владельцам SSL от Symantec.

Краткая предыстория

В марте 2017 Google обвинил Symantec в нарушении стандартов безопасности. SSL-подразделение Symantec выдало 108 ошибочных сертификатов с расширенной проверкой, сотрудники генерировали SSL для доменов без спроса их владельцев. В ответ на это Google пригрозил блокировать SSL-сертификаты удостоверяющего центра. Firefox поддержал опасения коллег из Chrome.

Несмотря на обещания Symantec устранить нарушения, в конце июля Google анонсировал последовательный план утраты доверия к сертификатам Symantec. А 2 августа стало известно, что Symantec продал бизнес по SSL компании DigiCert. Владельцы сайтов задаются вопросом: что будет с сайтом, если на нем установлен сертификат группы Symantec? В этой статье разберем план Google по полочкам и расскажем, что и когда нужно делать, если у вас сертификат Symantec.

Кого коснутся изменения

Изменения повлияют на сайты, которые используют или планируют приобрести сертификаты, выпускаемые группой Symantec. К ним относятся бренды:

Важно! Не стоит паниковать сейчас. Все изменения ждут вас только в 2018 году, а значит есть время, чтобы разобраться и подготовиться.

Причем здесь Google

В Google считают, что задача компании — сделать интернет безопасным для всех. Это касается пользователей, которые совершают покупки в интернет-магазинах и вводят персональные данные. Необходимо также защищать детей от злоумышленников, жестокости и нежелательной информации. Для этого компания обучает пользователей безопасной работе в Интернете, разрабатывает инструменты для безопасности на своих сервисах и делает их доступными для других компаний. Google использует зашифрованное соединение HTTPS, и призывает других поступать также. Для этого они включили HTTPS в список параметров, по которым Google ранжирует сайты в результатах поиска.

Компания ежегодно выплачивает миллионы долларов в виде грантов и премий независимым экспертам, которые выявляют и устраняют ошибки и уязвимости в сервисах Google. Как видите, вопрос безопасности в интернете имеет для Google особую важность.

Почему Google перестал доверять Symantec

Symantec — один из крупнейших удостоверяющих центров, который выдает 14% SSL-сертификатов в мире. Несмотря на масштабы, компания не смогла гарантировать соблюдение строгих стандартов по выпуску SSL.

Так, еще в 2015 году Symantec выдал сертификаты на домены без спроса владельцев. Тогда мошенники получили сертификаты на домены Google: google.com, gmail.com и gstatic.com. В январе 2017 года центр сгенерировал 108 ошибочных SSL с расширенной проверкой. К сертификатам этого уровня самые высокие требования. Нарушение этих правил Symantec могло привести к тому, что сертификаты получили мошенники. Также в марте 2017 стало известно, что 4 сторонние организации без должного контроля имеют доступ к выдаче SSL-сертификатов от имени Symantec.

Все эти нарушения привели к тому, что Google и Mozilla Firefox утратят доверие к сертификатам Symantec. Это значит, что при переходе на сайты с этими SSL пользователи увидят предупреждение о небезопасном соединении.

Какой план у Google, Symantec и DigiCert

Чтобы владельцы сайтов успели обновить или заменить сертификаты, Symantec (после 1 декабря DigiCert) и Google утвердили план действий . Так выглядит график, по которому будут происходит изменения:

Выйдет stable-версия Chrome 62. Она покажет оповещения для сертификатов, которые утратят доверие в Google 66. Так вы сможете понять, затронут ли изменения ваш сертификат. Откройте в Google Chrome ваш сайт и зайдите в «Дополнительные инструменты» — «Инструменты разработчика». Если проблемы есть, вы увидите оповещение.

DigiCert начнет выпускать сертификаты Symantec на базе новой инфраструктуры. Google не будет считать опасными сайты с SSL, выпущенным после 1 декабря 2017 года.

Выйдет beta-версия Chrome 66. Она утратит доверие ко всем сертификатам Symantec, GeoTrust, Thawte и RapidSSL, выпущенным до 1 июня 2016. То есть начиная с beta-версии Chrome 66 пользователи будут видеть предупреждение о том, что ваш сайт небезопасен.

Выйдет beta-версия Chrome 70. В ней утратят доверие все сертификаты, выпущенные до 1 декабря 2017 года.

Что делать владельцам сертификатов от Symantec

Итак, если ваш сертификат затрагивает утрата доверия к Symantec, вам нужно перевыпустить сертификат. Мы рекомендуем следовать определенному плану. Так вы избежите проблем с посетителями сайта, и при этом затратите минимум времени и усилий.

Если SSL был выпущен ДО 1 июня 2016 года и срок его окончания ПОСЛЕ 14 марта 2018 года.

Вам нужно перевыпустить сертификат до 15 марта 2018 года. В этот день выйдет beta-версия Google Chrome 66, и ее пользователи увидят, что ваш сайт небезопасен.

Важно! Если вы перевыпустите сертификат до 1 декабря, вам придется еще раз перевыпустить его до 13 сентября 2018 года. Потому что тогда потеряют доверие все сертификаты, выпущенные до 1 декабря 2017 года.

Если SSL был выпущен в период с 1 июня 2016 года по 1 декабря 2017 года и срок его окончания ПОСЛЕ 13 сентября 2018 года.

Вам нужно перевыпустить сертификат до 13 сентября 2018 года . В этот день выйдет beta-версия Google Chrome 70 и ее пользователи увидят, что ваш сайт небезопасен.

Если вам нужен сертификат на следующий период, вы можете продлить сертификат Symantec, GeoTrust, Thawte и RapidSSL и до 1 декабря 2017 года. В этом случае вам потребуется бесплатно перевыпустить его до 13 сентября 2018 года . Вы также можете купить сертификаты других брендов.

Как обещает DigiCert, эти сертификаты не нужно будет перевыпускать. Однако рекомендуем следить за новостями по этой теме на случай, если сроки запуска новой инфраструктуры сдвинутся.

Как будет происходить перевыпуск сертификатов

Перевыпуск сертификата будет бесплатным. Нужно обратиться в Symantec, если вы покупали сертификат напрямую у удостоверяющего центра, или к партнеру, у которого вы заказали SSL. Процесс абсолютно такой же, как и при покупке: нужно подтвердить право на домен и пройти проверку центра сертификации (зависит от типа сертификата). Обращаем внимание, что срок действия сертификата после перевыпуска не меняется. То есть перевыпуск делается только на оставшийся период действия сертификата.

Теперь вы знаете, как на вас влияет утрата доверия Google к сертификатам от Symantec, что и когда делать с SSL.

16.03.2016 | 01:59 Экономика

Теперь не нужно платить за DV (domain validated) TLS/SSL сертификаты (далее просто «TLS»). Компания Symantec, доминирующий игрок на рынке, собирается раздавать их в рамках программы партнерства с сервисами хостинга под названием Encryption Everywhere.

Бесплатный open-source центр сертификации Let’s Encrypt, находящийся в ведении Security Research Group Internet (ISRG), появился в Интернете в сентябре прошлого года. Недавно они выпустили свой миллионный сертификат.

Symantec, возможно, считает, что пользователи признают и доверяют имени Symantec больше, чем «Let’s Encrypt», но даже если это так, эти пользователи совершают ошибку. Независимо от того, кто выдает сертификат DV, он очень мало говорит о подлинности сайта.

Сертификаты TLS выполняют две функции: предлагают открытый ключ для шифрования коммуникаций, а также обеспечивают проверку подлинности сайта. Шифрования всегда можно было выполнить с помощью самоподписанного сертификата, который вы можете сделать сами бесплатно. Проблема состоит в том, что современные браузеры выдают до 5-ти предупреждений при просмотре сайта, работающего с самоподписанным сертификатом, и заставляют вас клинкнуть несколько раз, чтобы убедиться, что вы осознаете, что делаете. Это странный подход, учитывая, что браузеры не раздражают вас, когда вы попадаете на сайт без каких-либо TLS-сертификатов.

Такой подход также предполагает, что DV-сертификат, выданный доверенным центром сертификации, демонстрирует значимый уровень аутентификации. Но так ли это? Да, но не в достаточно высокой степени, чтобы обычные пользователи, которые не озадачиваются тщательными проверками сертификатов сайта, чувствовали себя в безопасности. Наличие сертификата свидетельствует о том, что лицо, получившее сертификат, имело доступ к учетной записи электронной почты зарегистрированного административного контакта сайта. Тот факт, что любой человек может легко получить бесплатный DV сертификат от респектабельного Let’s Encrypt, а не от коммерческого центра сертификации, еще более ухудшает ситуацию.

Есть более сильные формы сертификатов TLS: OV (Organization Validation) и EV (Extended Validation). Для получения OV-сертификата, в дополнение к доказательству того, что заявитель имеет административный контроль над доменом, ЦС должен, в соответствии с основными требованиями CA/Browser Forum:

«проверить имя и адрес заявителя, используя надежные источники информации, такие как правительственное учреждение в юрисдикции правотворчества заявителя, существование или подтверждение из надежной базы данных третьей стороны. CA также подтверждает подлинность запроса сертификата через надежные средства связи с организацией (то есть они проверяют, что лицо, запрашивающее сертификат, является уполномоченным работником/агентом подписывающейся организации). Для получения сертификатов, выданных физическим лицам, СА проверяет идентичность индивида с использованием выпущенного правительством удостоверения личности с фотографией, которое проверяется для индикации изменений или фальсификации».