Hlavní navigace

Chrome končí s certifikáty Symantec, Verisign, Thawte, RapidSSL a dalšími

Petr Krčmář

Včera byl vydán Chrome 66, který začal s omezováním důvěryhodnosti autority Symantec. Ta ovšem vlastní také další značky jako Verisign, Thawte, RapidSSL a další. V říjnu budou tyto autority zcela odstřiženy.

Doba čtení: 3 minuty

Včera vyšla nová stabilní verze prohlížeče Chrome označená číslem 66. Vedle různých technických novinek přinesla také další krok v dlouhodobém plánu, který bude končit za půl roku úplným odebráním důvěry certifikační autoritě Symantec. Tato verze už nedůvěřuje certifikátům vydaným před 1. červnem 2016.

Změna se nedotýká jen samotné autority Symantec, ale také dalších značek, které pod ní patří: Thawte, VeriSign, Equifax, GeoTrust a RapidSSL. Pokud patříte mezi správce webů používajících TLS certifikát od některé z těchto autorit, měli byste se začít poohlížet po jiné. Pokud jste uživateli takového webu, můžete už teď narazit na následující chybovou hlášku.

Od dubna do října

Symantec se v minulosti dopustil několika vážných provinění proti pravidlům, proto už má jeho autorita několik omezení. Už od června 2016 musí být všechny jeho certifikáty zveřejněny v databázích Certificate Transparency (CT), aby byly pro prohlížeče důvěryhodné. Od 30. dubna letošního roku to pak bude platit o všech certifikátech všech autorit.

Doposud platily ale i starší certifikáty, které v CT zveřejňovány ještě nebyly. To se s příchodem Chrome 66 změnilo a starší certifikáty od Symantecu už nefungují. Ty novější a zveřejněné budou ještě nějakou dobu důvěryhodné, v dalším kroku budou ale zneplatněny i ty.

Konkrétně k tomu dojde s vydáním Chrome 70, které je naplánováno na říjen 2018. Pozor ovšem na to, že někteří uživatelé používají betaverzi prohlížeče nebo dokonce vývojovou verzi Canary. Na omezení tak narazí dřív, první z nich už 20. července, kdy se úprava dostane do Canary. Beta je pak naplánována na 13. září 2018.

Následující tabulka shrnuje plán:

Verze Canary Beta Vydání
Chrome 66 20. ledna 2018 15. března 2018 17. dubna 2018
Chrome 70 20. července 2018 13. září 2018 16. října 2018

Google důrazně doporučuje provést změny ještě před vydáním prvního Canary, v tomto případě tedy během následujících tří měsíců. Pokud patříte mezi firemní uživatele, kteří potřebují víc času, pak čerstvě vydaná verze Chrome přidala Enterprise Policy volbu, která dovoluje předčasné znedůvěryhodnění certifikátů vypnout. Od 1. ledna 2019 už ale nebude k dispozici ani tato volba a za certifikáty od Symantecu se zavře voda.

Rozhodnutí komunity

Pro lidi sledující situaci okolo PKI to samozřejmě není žádná velká novinka, návrhy na podobnou operaci vznikly už více než před rokem. Symantec totiž provozuje celou řadu certifikačních autorit a před časem bylo zjištěno, že vydal neoprávněně 30 000 certifikátů, což vedlo k jeho omezením včetně rozhodnutí o konečném odstranění ze seznamu důvěryhodných autorit. Problém je o to horší, že postihuje jednu z největších certifikačních autorit na světě.

První část komunitou odsouhlaseného plánu proběhla už k 1. prosinci 2017, kdy se Symantec stal mezilehlou autoritou. Byla mu tedy odebrána kořenová důvěra a musel se stát podřízeným jiné autority, která začala vydávat certifikáty jeho jménem. To umožnilo Symantecu postupně vyrovnat závazky vůči současným zákazníkům. Přitom bude za dodržování pravidel už zodpovědná jiná autorita. Tou se stal DigiCert, který celý byznys Symantecu odkoupil a na svém webu vysvětluje, jak se věci mají a že je potřeba postupně certifikáty vyměnit.

Mnoho chyb, byznysu smrt

Druhá fáze proběhla nyní, když jsou zneplatněny starší certifikáty. Třetím krokem bude říjnové ukončení důvěryhodnosti Symantecu. To bude úplný konec autority, která podle statistik svého času vydala jeden ze šesti certifikátů používaných na webu. Symantec totiž postupem času koupil také řadu dalších značek jako GeoTrust, Thawte a RapidSSL a zařadil je pod svou kořenovou autoritu. Když bude odstraněn kořenový certifikát Symantecu, přestanou být automaticky důvěryhodné i tyto podřízené autority.

Není to poprvé, co podobné vyřazení autorit proběhlo. Jistě máte ještě v živé paměti konec autorit WoSign a StartCom, které se také dopustily řady chyb a jelikož měly také propojenou vlastnickou strukturu, byly potrestány obě. 

Našli jste v článku chybu?