Naar aanleiding van problemen bij de uitgifte van SSL-certificaten van Symantec, heeft Google het vertrouwen in de certificaten verloren en maatregelen aangekondigd. Zo willen zij EV SSL-certificaten niet meer aantonen als EV-certificaat in Google Chrome, en willen zij de looptijd van nieuwe certificaten van Symantec inkorten.
Wat is er bij Symantec gebeurd?
Google is van mening dat Symantec de procedures voor het uitgeven van certificaten niet goed gevolgd heeft. Sinds 19 januari deed Google onderzoek naar de onjuist afgegeven SSL-certificaten van Symantec. In eerste instantie vonden zij 127 onjuist afgegeven certificaten, maar inmiddels vertellen zij dat het om ongeveer 30.000 certificaten gaat. Daardoor heeft Google aangekondigd geen vertrouwen meer te hebben in de SSL-certificaten van het bedrijf.
Wat zijn de volgende stappen?
Naar schatting worden zo’n 30% van alle SSL-certificaten op het internet afgegeven door Symantec (bron). Als Google daadwerkelijk de maatregelen doorvoert, kunnen de gevolgen groot zijn. Belangrijk om te melden: op dit moment zijn de door Google voorgestelde maatregelen nog niet definitief.
Websites met een Symantec SSL-certificaat worden op dit moment nog vertrouwd, en geven nog geen foutmeldingen als Chrome-gebruikers de website(s) bezoeken.
De maatregel die Google nu heeft aangekondigd, betreft het niet meer tonen van de groene adresbalk in de browser. Pas in een later stadium wordt de website als ‘Niet veilig’ getoond in Chrome.
Geen reden voor paniek dus. Er is voldoende ruimte om SSL-certificaten te wijzigen als dat nodig blijkt.
Welke maatregelen stelt Google nu aan Symantec?
Google stelt nu een aantal maatregelen:
- SSL-certificaten die onlangs zijn uitgegeven worden niet vertrouwd door Google.
- Extend Validation SSL-certificaten verliezen ten minste voor één jaar de Extended Validation-status.
- Nieuwe SSL-cerficaten die het bedrijf uitgeeft zullen vanaf nu maximaal 9 maanden geldig zijn.
Ondertussen is Symantec gevraagd om de zaken op orde te krijgen. De maatregelen gelden voor alle SSL-certificaten die onder de vleugel van Symantec vallen, waaronder ook die van Thawte.
Wat zegt Symantec zelf?
Symantec zelf heeft in een statement laten weten dat zij dat de actie ‘onverwacht’ en ‘onverantwoord’ vinden van Google.
“At Symantec, we are proud to be one of the world’s leading certificate authorities. We strongly object to the action Google has taken to target Symantec SSL/TLS certificates in the Chrome browser. This action was unexpected, and we believe the blog post was irresponsible. We hope it was not calculated to create uncertainty and doubt within the Internet community about our SSL/TLS certificates.“ (bron)
Wat dit betekent voor klanten van True?
True maakt gebruik van de SSL-certificaten van Thawte, wat onderdeel is van Symantec.
De certificaten blijven gewoon geldig en geven geen foutmelding in Chrome. Echter, de groene adresbalk met daarin de bedrijfsnaam en gegevens, zal niet meer worden getoond in Google Chrome. Daarnaast zullen nieuw afgegeven certificaten van Thawte een kortere looptijd krijgen: 9 maanden.
Vooralsnog is er geen reden voor paniek. De certificaten blijven geldig en de maatregelen zijn nog niet definitief. Onze engineers houden het nieuws in de gaten. Zodra er meer informatie over bekend is, houden wij u via ons blog op de hoogte.
Meer lezen? Zie: Tweakers.net of Ars Technica.
