Снижение доверия к Symantec PKI: рекомендации владельцам сайтов

Привет Хабр, ранее, в своем блоге по безопасности, мы объявили ^[1] о планах по снижению доверия Chrome к сертификатам Symantec (включая принадлежащие Symantec бренды, такие как Thawte, VeriSign, Equifax, GeoTrust и RapidSSL). В этом посте описывается, как владельцы сайтов могут определить, повлияет ли на них снижение доверия к сертификатам Symantec, и если да, то что нужно сделать и когда. Отказ от замены этих сертификатов приведет к поломке сайта в будущих версиях основных браузеров, включая Chrome и Firefox.

Chrome 66

Если ваш сайт использует сертификат SSL / TLS от Symantec, который был выпущен до 1 июня 2016 года, он перестанет нормально функционировать уже в Chrome 66, что в свою очередь может повлиять на ваших пользователей.

Если вы не уверены в том, использует ли ваш сайт такой сертификат, вы можете уже сейчас проверить находится ли ваш сайт в зоне риска с помощью Chrome Canary ^[2]. Если при переходе на ваш сайт отображается ошибка сертификата или предупреждение в DevTools, как показано ниже, вам нужно будет заменить сертификат. Вы можете получить новый сертификат от любого доверенного ЦС ^[3], включая Digicert, который недавно приобрел бизнес CA Symantec.

Пример ошибки сертификата, которую пользователи Chrome 66 могут увидеть, если вы используете сертификат Legacy Symantec SSL / TLS, который был выпущен до 1 июня 2016 года

В сообщении DevTools вы увидите, нужно ли заменить сертификат до выхода Chrome 66

Chrome 66 уже доступен в каналах дистрибуции Canary и Dev, что означает, что затронутые сайты уже сейчас показывают ошибки пользователям этих версий Chrome. Более того, если затронутые сайты не заменят свои сертификаты до 15 марта 2018 года, то в скором времени и пользователи Chrome Beta также начнут испытывать неудобства. Мы настоятельно рекомендуем и просим владельцев сайтов как можно скорее заменить сертификаты если на вашем сайте показывается ошибка при просмотре с помощью Chrome Canary.

Chrome 70

Начиная с Chrome 70 все остальные сертификаты Symantec SSL / TLS перестанут работать, что приведет к ошибке сертификата, аналогичной показанной в КДПВ. Чтобы проверить, не находится ли ваш сертификат в зоне риска, зайдите на свой сайт с помощью Chrome и откройте DevTools. В консоли должно появится сообщение о необходимости замены сертификата.

В сообщении DevTools вы увидите, нужно ли заменить сертификат до выхода Chrome 70

Если вы увидели такое сообщение в DevTools, мы рекомендуем заменить сертификат как можно скорее. Если сертификат не будет заменен, пользователи начнут видеть ошибки сертификата на вашем сайте начиная с 20 июля 2018 года включительно. Первая версия бета-версии Chrome 70 будет доступно около 13 сентября 2018 года.

Временная шкала выпусков Chrome

В приведенной ниже таблице показаны первая версия Canary, First Beta и Stable Release для Chrome 66 и 70. Первое влияние данной версии будет совпадать с первой канарейкой, которая будет постоянно расширяться, поскольку релиз попадает на бета-версию, а затем в конечном итоге на Stable. Операторам сайта настоятельно рекомендуется внести необходимые изменения на свои сайты перед выпуском First Canary для Chrome 66 и 70 и не позднее соответствующих дат выпуска бета-версии.

Кстати говоря, получить подробную информацию о временной шкале выпуска для конкретной версии Google Chrome вы всегда можете в календаре развития проекта Chromium ^[4].

Для того чтобы удовлетворить потребности корпоративных пользователей, в Сhrome будет добавлена корпоративная политика (Enterprise Policy), которая позволит отключить недоверие к Legacy Symantec PKI, начиная с Chrome 66. Это политика перестанет быть доступна после 1 января 2019 года, соответственно сертификаты от Legacy Symantec PKI перестанут быть доверенными для всех пользователей.

Особое упоминание: Chrome 65

Как отмечено в предыдущем объявлении ^[1], сертификаты SSL / TLS от Legacy Symantec PKI, выпущенные после 1 декабря 2017 года, больше не являются доверенными. Это не должно затронуть большинство владельцев сайта, т.к. для получения таких сертификатов требуется специальное соглашение с DigiCert. Доступ к сайтам использующим такой сертификат завершится неудачно, запрос будет заблокирован для Chrome 65. Чт

Автор: Developers_Relations

Источник ^[5]