Konačna odluka Google protiv Symantec

Manji broj korisnika Symantec sertifikata će biti pogođen, pripremite se za promene u 2018. 

U martu, Google Chrome je objavio da je bilo problema sa Symantec-ovim sertifikatima, jer nisu ispoštovani standardi vezani za proceduru izdavanja SSL sertifikata. U poslednja 4 meseca o ovome su raspravljali Google, Symantec i drugi članovi internet zajednice i konačno 27. jula, Chrome i Symantec su objavili konačni plan.

Ako upravljate sajtom koji koristi Symantec SSL sertifikat, molimo vas da pročitate ovaj tekst do kraja kako biste znali da li će promene koje budu nosile buduće verzije Google Chrome-a imati uticaja na vaš sertifikat. Ako ste u grupi korisnika na koju će promene uticati, možete da zamenite taj sertifikat (besplatno) pre nego što se bilo šta desi.

Još da napomenemo da se preporuke iz ovog teksta odnose na vlasnike, odnosno administratore sajtova koji koriste sertifikate iz Symantec portfolija. Obični korisnici interneta i Chrome-a ne moraju da preduzimaju nikakve mere. 

 

Šta je plan i kad stupa na snagu?

Plan će biti sproveden u dve faze. Prva faza će uticati na sertifikate koji su izdati pre 1. juna 2016. Druga faza će uticati na sve Symantec sertifikate izdate sa trenutno važećim root sertifikatom - uključujući i sertifikate koji još nisu izdati. 

Da biste bili u skladu sa Google-ovim planom, možda ćete morati da BESPLATNO zamenite postojeći Symantec sertifikat kroz proces re-izdavanja i re-instalacije.  

Dakle, ako ste korisnik Symantec sertifikata ili planirate da kupite sertifikat u 2017, ovo može da utiče na vas.  

S obzirom da Symantec ima više brendova, ova odluka će takođe uticati i na njih: 

  •       Symantec
  •       GeoTrust
  •       Thawte
  •       RapidSSL

Nema razloga za uzbunu - ni jedna mera neće stupiti na snagu pre 2018, što znači da imate dovoljno vremena da se pripremite. 

Ako ste kupili sertifikat preko nas, dobićete i-mejl obaveštenje kada treba da zamenite sertifikate i kako to da uradite. Ako niste sigurni da li će ova promene da utiče na vas, ili na koje sertifikate će uticati, mi ćemo vam u i-mejl naznačiti. Ako ste kupili sertifikat od drugog provajdera, proverite sa njima na koje sertifikate će uticati. 

Zašto se ovo dešava?

Zbog povrede standarda propisanih za izdavanje SSL sertifikata, Google Chrome je odlučio da se Symantec-ovi root sertifikati, koji se nalaze na početku SSL lanca svih aktuelnih SSL proizvoda, preispitaju. Sporni su bili test sertifikati koji su izdati mimo standardne procedure. Google je ovu informaciju iskoristio kao povod za raspravu o ispravnosti svih Symantec sertifikata. 

Kao rezultat ovog Google-ovog stava, mnogi Symantec SSL sertifikati će vremenom u Chrome-u biti označeni kao nepouzdani, ako se ne preduzmu mere prevencije, odnosno ako se ponovo ne izdaju.

Ovo će se desiti u dve fazi, prva počinje u aprilu 2018,  a druga u oktobru 2018 (o ovome će biti više reči u nastavku teksta).

Za sve to vreme Symantec će moći sve vreme da izdaje sertifikate, samo pod drugačijom tehničkom infrastrukturom.

Symantec će se prvo udružiti sa još jednim Sertifikacionim telom (CA), koji će izdavati sertifikate u Symantec-ovo ime počev od decembra ove godine. Taj partner će nastaviti da izdaje sertifikate, dok Symantec ne podnese novi root sertifikat browserima. 

Dugoročni plan predviđa da Symantec prvo distribuira novi root na većinu uređaja, pa će onda moći ponovo samostalno da  izdaje sertifikate.

 

Ko treba da preduzme mere? 

Kao što smo rekli, Chrome će sprovesti proces ukidanja poverenja pomenutim sertifikatima postepeno u dve faze, koje će se teći uporedo sa pojavom novih verzija Chrome-a, verzija 66 i verzije 70. Trenutna aktuelna verzija je 61.

Kada izađe nova verzija Chrome 66 (očekuje se sredinom aprila 2018) svim Symantec sertifikatima izdatim pre 1. juna 2016, biće ukinuto poverenje ako se ne preduzmu odgovarajuće mere. To znači da korisnici Chrome 66+ verzija neće moći da uspostave HTTPS konekciju sa vašim sajtom i dobiće upozorenje. 

Druga faza će početi sa pojavom Chrome 70 (očekuje se sredinom oktobra 2018). Svim Symantec sertifikatima koji su izdati sa trenutno aktuelnim root-om biće ukinuto poverenje ako se ne preduzmu odgovarajuće mere.

U zavisnosti od datuma izdavanja i datuma isticanja vaših sertifikata, možda će biti potrebno da zamenite Symantec sertifikat da biste zadržali status sajta od poverenja tokom gore pomenutog perioda. Ovo će zavisiti i od toga koliko će vremena Symantec-u biti potrebno da unapredi svoju buduću infrastrukturu javnih ključeva (public key infrastructure - PKI). 

Ponovo napominjemo, ako ste kupili sertifikat preko nas, blagovremeno ćemo vas obavestiti kada i koji sertifikat treba re-izdati ili obnoviti.

 

Kako da se pripremite?

Radi bolje preglednosti, u tabeli smo prikazali vremenski sled događaja i preporuke akcija u skladu s tim. 

Dve faze u kojima će Chrome ukinuti poverenje određenim sertifikatima, koje su ujedno i rok za zamenu sertifikata, su boldirane. 

(Okviran) Datum

Chrome Verzija

Šta će se desiti?

Kako da se pripremite?

24. oktobar 2017

62

Chrome 62 će prikazivati poruku u Developer Tools koja će vam pomoći da otkrijete na koje sertifikate će uticati verzija Chrome 66.

Posetite Developer Tools panel vašeg sajta – moći ćete da vidite na koji sajt će uticati novine iz Chrome 66 verzije.

1. decembar 2017

N/A

Partnersko sertifikaciono telo (CA) će početi da izdaje sertifikate za Symantec

Kao korisnik osetićete male promene u procesu izdavanja sertifikata. Sa tehničkog gledišta, ovaj datum je značajan jer označava početak "novih" Symantec sertifikata. Sertifikati koji su izdati posle ovog datuma biće izdati sa drugog roota i na njih neće uticati Chrome-ove nove verzije, odnosno neće im se ukidati poverenje.

17. april 2018

66

Svim Symantec sertifikatima izdatim pre 1. juna 2016. biće ukinuto poverenje u Chrome-u. Na sertifikate izdate posle 1.juna 2016. nova verzija Chrome-a 66 neće uticati.

Zamenite Symantec sertifikate izdate pre 1. juna 2016. Ovo se radi kroz proces besplatnog re-izdavanja i instaliranja novog sertifikata umesto starog. 

Ako vaš sertifikat ističe u ovom periodu (April-Jun) bolja opcija je da obnovite sertifikat umesto da ga re-izdate, i da tako izbegnete da dva puta da radite zamenu sertifikata.

28. oktobar 2018

70

Svim sertifikatima koje je izdao Symantec sa sadašnje infrastrukture biće ukinuto poverenje u Chrome-u.

Počev od 1. decembra ove godine, moći ćete da dobijete sertifikat od Symantec-a koji će izdavati partnersko sertifikaciono telo. Ovi sertifikati će tehnički gledano biti izdati od strane drugog sertifikacionog tela i Chrome će ih sve vreme smatrati sertifikatima od poverenja.

Preporuka za plan akcije

Da biste izbegli moguće probleme, preporučujemo sledeće mere: 



Ako vaš sertifikat ističe pre decembra 2017

Preporučujemo da obnovite sertifikat (umesto da ga re-izdate) pre decembra. To će vam omogućiti da imate sertifikat od poverenja sve do oktobra 2018. kada će svi sertifikati sa sadašnjim Symantec rootom morati da budu zamenjeni. 



Ako vaš sertifikat ističe tokom decembra

Preporučujemo da zamenite sertifikat da biste izbegli probleme. Symantec se nada da će partnerski CA početi da izdaje sertifikate od 1. decembra. Ako sačekate sa re-izdanjem i zamenom sertifikata dok partnerski CA ne počne da izdaje sertifikate, najverovatnije više nećete morati da menjate, odnosno re-izdajete sertifikat sve do njegovog redovnog isteka. 

Ipak, imajte u vidu da se može desiti da u tom periodu bude puno zahteva za izdavanjem sertifikata što može da prouzrokuje tehničke probleme i kašnjenje u izdavanju sertifikata.

Ako morate da zamenite sertifikat pre nego što partnerski CA počne da izdaje sertifikate u Symantec-ovo ime, moraćete da menjate sertifikat ponovo pre nego što izađe Chrome 70 (očekuje se u oktobru 2018).



Ako vaš sertifikat ističe POSLE 31. decembra 2017

Preporučujemo da sačekate sa zamenom sertifikata sve dok Symantec-ov partnerski CA ne počne da izdaje sertifikate  (očekuje se 1. decembra  2017)

Nakon ovog datuma možete da re-izdajete i menjate sertifikate kad vam bude odgovaralo. Ako vam sertifikat ističe pre 30. marta 2018, obnova sertifikata pre isteka vam je najbolja solucija. Sertifikat možete da obnovite 90 dana pre isteka. 

To će vam omogućiti da samo jednom zamenite sertifikat. Sertifikati koje izda Symantec-ov partnerski CA neće biti pogođeni promenama koje uvodi Chrome i neće morati da budu zamenjeni dok ne isteknu.



Posebni slučajevi: Ako je vaš sertifikat izdat PRE 1. juna 2016. i ističe posle 17. aprila 2018

Vaš sertifikat mora da bude re-izdat i zamenjen PRE nego što izađe Chrome 66, što se očekuje 17. aprila 2018. 

Ipak, trebalo bi da sačekate do 1. decembra 2017.  da re-izdate sertifikat. Tog datuma, Symantec-ov partnerski CA počinje da izdaje sertifikate. Ako sačekate do tog datuma, zamenićete sertifikat samo jednom. 

Ako re-izdate pre nego što Symantec-ov partnerski CA počinje da izdaje sertifikate, vaš novi sertifikat će imati Symantec-ov trenutni root koji će morati da bude zamenjen pre oktobra 2018.