Google degradeerib Symanteci turvasertifikaatide taset

Seekordne blogipostitus räägib turvasertifikaatide maailmas toimuvast madinast Google ja Symanteci vahel ning sellest, kuidas see internetikasutajaid mõjutab.

Google annab teada, et maailma üks suurimaid sertifitseerimiskeskuste omanikke Symantec on teinud turvasertifikaatide väljastamisel niivõrd palju vigu, et Google kahandab märkimisväärselt oma veebilehitseja Chrome usaldust Symantec’i poolt kinnitatud sertifikaatide vastu.

Tegemist on märkimisväärse sündmusega, kuna Symantec’i omanduses on mitmed maailma tunnustatuimad turvasertifikaate väljastavad brändid, sealhulgas Verisign, Thawte, Geotrust ja RapidSSL. Erinevatel andmetel andsid Symantec’i brändid 2015. aastal välja 30% maailma turvasertifikaatidest ja nende väljastatud sertifikaatide abil teostatakse ka praegu umbes 40% kõikidest sertifikaatide valideerimistest. Google Chrome on omakorda üks maailma kasutatuimaid veebibrausereid, mille turuosa on kõvasti üle 50%. Zone veebi puhul oleme tähendanud, et Google Chrome kasutajaid on kohati lausa üle 60%.

Google usaldamatus saab koheselt väljenduma Symantec’i Extended Validation (EV) sertifikaatide staatuse degradeerimises ja ülejäänud sertifikaatide kehtivusaja järjepidevas vähendamises. Järsku ja täielikku Symantec’i sertifikaatide usaldamise lõpetamist Google siiski ei plaani.

Tavapäraselt on Extended Validation sertifikaadid äärmiselt kõrge usaldustasemega, kuna nende väljastamisele eelneb põhjalikum taotleja tausta kontrollimine ning sertifikaat seotakse lisaks domeenile ka konkreetse äriühinguga. Kõrget usaldustaset väljendatakse lehitseja poolt veebikasutajatele kuvades EV sertifikaate kasutavatel lehtedel aadressiribal rohelist tausta või täiendades aadressi silmapaistvas rohelises kirjas organisatsiooni nimega.
Symantec’i EV sertifikaatide staatus võrdsustatakse lähiajal Google Chrome poolt tavasertifikaatidega, mis tähendab, et täiendavat usaldust ilmestavad atribuudid eemaldatakse aadressiribalt. Ülejäänud turvalist ühendust tähistavad märgid jäävad alles. Symantec’i EV sertifikaatide staatus degradeeritakse üheks aastaks.

Löök Extended Validation sertifikaatide pihta on Symanteci jaoks ilmselt väga valus, sest väidetava põhjaliku taustakontrolli alusel väljastatavad sertifikaadid on küllalt kallid ja neid ostavad just organisatsioonid, kes panustavad enam oma turvalisusesse ja mainesse.

Esimene ports tavasertifikaate saab mõjutatud Google Chrome versioonis 59, mis kuulutab usalduse lõppu nendele Symanteci sertifikaatidele, mille kehtivuse lõpuni on selleks hetkeks jäänud üle 33 kuu. Selliseid sertifikaate  Chrome siis enam usaldusväärseks ei tunnista.

Muuhulgas kasutab Symantec’i perkonna EV sertifikaati ka Zone.ee ja tavaolukorras sisalduvad Zone turvasertifikaatide tooteportfellis sertifikaadid ka enamuselt ülalnimetatud Symanteci brändidelt.

Hetkeseisuga oleme siiski ajutiselt peatanud  uute Symantec’i sertifikaatide väljastamise, kuni sellesse teemasse on saabunud rohkem selgust ja Symantec on informeerinud oma kliente sellest, kuidas kavatsetakse seni väljastatud sertifikaadid uuesti valideerida.

Seni võimaldavad akuutsed vajadused rahuldada meie teenusplatvormi sisse ehitatud tasuta Let’s Encrypt sertifikaadid ja kommertssertifikaadid teiselt suurelt sertifitseerimiskeskuselt Comodo.
Arusaadavalt ei ole Symantec Google süüdistustega nõus ja on väljastanud omapoolse sama karmisõnalise vastulause: https://www.symantec.com/connect/blogs/symantec-backs-its-ca

Kuidas järgivad Google astutud samme teised brauseritootjad, nagu Mozilla või Microsoft, näeme ilmselt lähiajal. Märgid viitavad sellele, et reaktsioon saab olema mõnevõrra mõõdukam.

P.S. Tasub äramärkimist, et esimesed märgid EV sertifikaatide usaldusväärsuse langusest on Google Chrome Windowsi ja Linuxi versioonides juba näha.

Autor: Ardi Jürgens

Infotehnoloogia entusiast. Zone Media OÜ juhatuse liige.