Dwie najpopularniejsze przeglądarki będą oznaczać certyfikaty SSL firmy Symantec jako niezaufane. Skutki tej zmiany odczują właściciele stron i aplikacji, które zostaną potraktowane jako „niebezpieczne”. Symantec w opinii Google nie działał zgodnie z obowiązującymi standardami. Około 30 000 podpisów zostało wydanych błędnie, w tym dla domeny google.com. Sprawę opisują pracownicy Google.
Problem dotyczy certyfikatów wystawionych przed grudniem 2017 roku. Ciężko określić skalę problemu, ponieważ Symantec wydawał certyfikaty pod kilkoma nazwami. Według naszych danych z wyszukiwarki Shodan zaniepokojeni powinni być administratorzy ponad 280 certyfikatów w Polsce. Łącznie na świecie certyfikatów, które straciły zaufanie Chrome i Firefoxa jest ponad 470 000. To musi robić wrażenie.
Winowajcą jest sam Symantec, do niedawna lider rynku w branży certyfikatów. Jak informuje Google, Symantec nie działał zgodnie z przyjętymi standardami i autoryzował kilka innych firm w weryfikacji SSL-ów. Sama weryfikacja to niezbędny element wydania certyfikatu SSL, a zwłaszcza typu EV (Extended Validation), czyli tego, który zawiera przed przedrostkiem HTTPS nazwę podmiotu. Z tego typu rozszerzonego certyfikatu często korzystają banki, aby uwiarygodnić źródło strony.
Administratorom zaleca się natychmiastową wymianę certyfikatów na nowe. W innym przypadku komunikaty przeglądarek o niebezpiecznych zasobach nie będą zachęcały do odwiedzin.
Jeśli nie chcemy przepłacać za certyfikat, możemy skorzystać z Let’s Encrypt, który oferuje darmowe certyfikaty na 90 dni. Po tym czasie należy je odnowić, co nie jest zbyt praktyczne. Liderami w branży jest DigiCert (firma odkupiła od Symantec dział certyfikacji) lub Comodo.
Można odnieść wrażenie, że internetowi giganci (np. Facebook, Twitter, Microsoft, Apple, Amazon itd.) już “tradycyjnie” korzystają z zabezpieczeń DigiCert, a i Comodo na brak klientów też nie narzeka — również jako jedna z największych firm w branży bezpieczeństwa.
Decyzja Mozilli i Google nie zaskakuje. Te korporacje (co ciekawe, wszystkie wraz z Symantec mają siedzibę w Mountain View) przekonują, że bezpieczeństwo jest dla nich kwestią priorytetową. Decyzja Mozilli jest zupełnie naturalna — przeglądarka i klient poczty są polecane na stronie privacytools.io. Z kolei Google w opinii niektórych czytelników nie do końca jest postrzegane jako firma, która dba o prywatność. Jednak w tej sprawie podjęte działania są jak najbardziej słuszne.
Chrome już od wersji 70 zaczęło oznaczać certyfikaty Symantec-a jako niebezpieczne. Przeglądarka Firefox zrobi to już 23 października, wtedy zostanie wydana stabilna wersja 63.
