Symantec inte längre betrodda av Google

2017-03-24   John Allberg   web pki

Igår, den 23 mars, hade tydligen Google fått nog och gick ut med att “omedelbart” ta bort samtliga Symantecs EV-utfärdare, inklusive Geotrust och Thawte. De kommer därför att upplevas som vanliga SSL-certifikat.

Enligt SSLlistan står Symantec, inklusive Verisign, Geotrust och Thawte, för mer än 45% av alla servercertifikat i Sverige.

Exakt vad “omedelbart” är inte uppenbart men min tolkning är att det kommer i nästa version, alltså 58, som är beräknad till 2017-04-25. Men den finns inte i Chrome Canary 59.0.3050.0, så vi får se hur det blir med den saken.

Dessutom tvingar de Symantec att utfärda korta certifikat, då Chrome inte kommer att lita alls på certifikat som är längre än en viss tid. Vilken tid det blir beror på vilken version av Chrome det handlar om.

Chrome Release-datum Max gilighet
59 2017-06-06 1023
60 2017-08-01 837
61 2017-09-12 651
62 2017-10-24 465
63 2017-12-12 465
64 279

Och vad är Symantecs svar på detta? (min översättning)

“Deras kommunikation var oväntad och oansvarig.” “Våra kunder behöver veta att de inte behöver göra något just nu.”

“Googles påstående att vi har utfärdat 30 000 felaktiga certifikat är inte sant. Vid det tillfället som Google hänvisar till hittades det 127 felaktigt utfärdade certifikat, inte 30 000, och de skadade inte någon användare.”

Så kommer Symantec att hindra detta från att genomföras? Bra fråga, det jag tror är avgörande är hur de andra webbläsarna agerar nu. Om IE/Edge, Safari och Firefox följer med och gör motsvarande tror jag inte att Symantec kan värja sig. Det är ett bra lackmustest.

Hur påverkar det mig som site-ägare?

Låt oss här förutsätta Google står fast vid sitt hot.

Har du inte ett certifikat från Symantec, Verisign, Thawte eller Geotrust så kan du slappna av för det här berör inte dig.

Har du krav på dig att ha EV-certifikat? Då bör du nog se dig om efter en alternativ leverantör av certifikat. Om Google släpper uppdateringen i nästa version av Chrome så har du från och med nu bara en månad på dig. Det skadar inte att ha koll på vem som snabbt kan förse dig med nya certifikat och uppdatera dina egna rutiner för att snabbt kunna installera dem.

Om du inte har krav på EV-certifikat kan du vara ganska lugn, beroende på hur lång giltighetstid du har på ditt certifikat. Ta reda på det och kontrollera i listan ovan när du går under gränsen, för innan det behöver du ha bytt ut ditt certifikat.

Kanske borde du fundera på att när förändringarna har slagit igenom i Chrome Canary kontakta Symantec och begära pengarna tillbaka för ditt certifikat?

SSLlistan

För SSLlistan innebär det i första steget att EV-certifikat utfärdat av Symantec inte längre får någon poäng för det och därmed rankas som om det vore validerat som “Organizational”.

Så småning om kommer Symantec-certifikat som är giltiga längre tid en de ovan angivna tiderna att få ett “T” som ranking.


<< Tidigare inlägg ("Doktor i e-legitimationer")

Share This:    
John Allberg

John har arbetat med elektronisk identifiering och e-legitimationer sedan 2000. Först på Posten eSäkerhet mellan 2000 och 2004, sedan på Telia mellan 2004 och 2008. Från 2009 är han konsult inom området och 2010 grundade han Ayoy tillsammans med Oscar Jacobsson.