Zamenite Symantec SSL/TLS sertifikate

Odnosi se na Symantec, Thawte, GeoTrust, i RapidSSL

Krajem jula 2017, Google Chrome je napravio plan da smanji, a onda i da potpuno ukine poverenje (tako što će prikazivati bezbednosna upozorenja u Chrome browseru) svim Symantec, Thawte, GeoTrust i RapidSSL SSL/TLS sertifikatima izdatim u određenom vremenskom periodu. Plan će biti sproveden u tri etape za koje su predviđeni datumi 1. decembar 2017, 15. mart 2018. i 13. septembar 2018. Prvi datum odnosio se na CA i nije bilo potrebe da korisnici sertifikata preduzimaju ikakve mere. Ipak, druge dve etape zahtevaju akciju od korisnika, odnosno neki korisnici moraju da zamene sertifikate (besplatno) pre tih datuma, da bi izbegli upozorenja Chrome browsera.

 

Novi Chain of Trust

DigiCert je preuzeo validaciju i izdavanje svih Symantec Website Security SSL/TLS sertifikata. Ovo uključuje i sertifikate koje izdaju  Thawte, GeoTrust i RapidSSL. Nadalje, sve nove i re-izdate Website Security sertifikate izdaje DigiCert (sa svog root-a) i neće izazivati bezbednosna upozorenja u Google Chrome.

 

Prvi korak: Isplanirajte zamenu sertifikata

Da biste izbegli upozorenja Google Chrome browsera, zamenite sertifikat pre odgovarajućeg datuma: 15. marta 2018. ili 13. septembra 2018, u zavisnosti od toga kad je vaš sertifikat izdat.

Važno je da isplanirate zamenu sertifikata unapred, jer se sertifikati ne izdaju automatski. U plan zamene treba da uračunate vreme koje je potrebno da se obavi autentifikacija koja prethodi izdavanju sertifikata i vreme potrebno da se sertifikat instalira. 

 

Besplatna zamena sertifikata 

DigiCert će zameniti sve pogođene sertifikate besplatno. 

 

Mart 2018.

Otprilike 15. marta 2018, Chrome beta će početi da izdaje upozorenja za Symantec SSL/TLS sertifikate izdate pre 1. juna 2016. Konačna javna verzija Chrome izlazi 17. aprila 2018. 

Šta preduzeti: Ako je vaš SSL sertifikat izdat pre 1. juna 2016. i ističe posle 15. marta 2018. zamenite ga pre 15. marta 2018. 

Ne morate da čekate mart da biste zamenili sertifikat. Domeni i organizacije moraju da prođu validaciju ponovo, pre nego što se izda novi sertifikat. Novi sertifikat morate da instalirate. 

 

Septembar 2018.

Oko 13. septembra 2018. bi trebalo da izađe beta verzija Chrome koja će da pokazuje upozorenja za sve Symantec SSL/TLS sertifikate izdate posle 1. juna 2016. Konačna verzija bi trebalo da izađe sredinom oktobra 2018. 

Šta preduzeti: Ako je vaš SSL sertifikat izdat posle 1. juna 2016, a pre 1. decembra 2017, i ističe posle 13. septembra 2018, treba da ga zamenite pre 13. septembra 2018

Ne morate da čekate septembar da biste zamenili sertifikat. Domeni i organizacije moraju da prođu validaciju ponovo, pre nego što se izda novi sertifikat. Novi sertifikat morate da instalirate. 

 

Drugi korak: Pripremite se za validaciju 

Da bi se ispunili zahtevi koje je postavio Google, zamena sertifikata zahteva ponovnu validaciju/autentifikaciju. DigiCert će ponovo proveravati sve domene za DV, OV i EV sertifikate, kao i podatke o organizaciji za OV i EV sertifikate. 

Nova validacija domena i organizacije je obavezna, ne može se izbeći, ali možete da se pripremite kako bi proces validacije protekao brže i lakše: 

Verifikacija kontrole nad domenom (Odnosi se na sve sertifikate DV, OV i EV)

Pre izdavanja sertifikata, morate da dokažete da imate kontrolu nad domenima za koje se izdaje sertifikat. Proces se zove verifikacija domena. Podrazumevani metod verifikacije domena je email validacija. 

Proces email validacije izgleda ovako: Sertifikaciono telo (DigiCert) šalje email registrovanom vlasniku domena koji je javno upisan u WHOIS record. Email takođe može da se šalje na pet email adresa vašeg domena: admin@, administrator@, webmaster@, hostmaster@, i postmaster@.

PREPORUKA: Proverite da li je za vaš domen vidljiv kontakt email u WHOIS zapisu. Ako email nije javno vidljiv, a nemate ni jednu od gore navedenih pet adresa za domen za koji uzimate sertifikat, kreirajte jednu po vašem izboru pre poručivanja sertifikata.

Napomena: DigiCert NE šalje email za verifikaciju domena tehničkom i administrativnom kontaktu. Email sadrži instrukcije koje treba izvršiti da bi se dokazala kontrola nad domenom i obavila validacija/autentifikacija. 

Odgovor na verifikacioni poziv (Odnosi se na OV i EV sertifikate)

DigiCert će pozvati verifikovani broj telefona (broj upisan u javni registar) da bi završio validaciju/autentifikaciju. Poziv se obično obavlja u roku od 24 sata od poručivanja sertifikata. Postarajte se da je osoba koja se javlja na verifikovan javni broj obaveštena o pozivu i da kaže potrebne podatke. 

Upišite zvanično pravno ime organizacije (Odnosi se na OV i EV sertifikate)

U zahtev za izdavanje sertifikata (CSR) morate da upišete zvanično pravno ime organizacije ako imate OV ili EV sertifikat. Ako ime organizacije koje ste upisali nije tačno, DigiCert će tražiti da se promeni. To će uticati na dužinu procesa izdavanja sertifikata. Na primer, ako je zvanični naziv vaše organizacija (u APR-u) Moja Firma d.o.o. Beograd, smatraće se netačnim ako upišete samo naziv Moja Firma.  

Obezbedite online prisustvo u nezavisnom javnom registru (Odnosi se na OV i EV sertifikate)

Kada poručujete OV i EV sertifikate, neophodno je da imate online prisustvo, odnosno da su podaci važe organizacije (pravno ime, adresa i broj telefona) upisani u neki od nezavisnih javnih registara, kao što su Google My BusinessDun & Bradstreet ili www.11811.rs. Upišite organizaciju u neki od registara, ili ako je već upisana, proverite da li su podaci tačni. Ako podaci nisu tačni, ažurirajte ih pre poručivanja sertifikata.

Treći korak: Zamenite sertifikate

  1. Ulogujte se u postojeći Symantec, Thawte, GeoTrust, ili RapidSSL nalog.
  2. Pronađite sertifikat koji treba zameniti.
  3. Kreirajte CSR (certificate signing request).
  4. Izaberite opciju replace/reissue.
  5. Pošaljite (Submit) vaš replacement/reissue zahtev.
  6. Kada DigiCert ponovo validira i ponovo autentifikuje vaš domen ili organizaciju, zamenski sertifikat će biti izdat. 
  7. Instalirajte vaš novi SSL/TLS sertifikat.

 

Preporuka za 3-godišnje sertifikate 

Preporučujemo da zamenite 3-godišnje sertifikate pre 1. marta 2018. da biste dobili zamenski sertifikat na ceo period važenja, jer od 1. marta 2018. CA više neće moći da izdaju 3-godišnje OV i DV sertifikate.  Svi OV i DV zamenski sertifikati izdati posle 28. februara 2018. važiće maksimalno 825 dana bez obzira na to koliko dana je ostalo na sertifikatu. Više o skraćenju maksimalnog perioda važnosti: Announcement: Shortening Maximum Validity Periods for OV and DV Certificates.

 

Izvor: www.digicert.com