Googles Chrome-team kunngjorde i går at det ikke lenger har full tillit til Symantecs prosess for utstedelse av TLS-sertifikater, som benyttes av mengder av nettsteder verden over. Bakgrunnen for dette er en etterforskning Google har gjennomført de to siste månedene, hvor det har blitt avdekket at Symantec og Symantec-eide sertifikatutstedere har feilutstedt minst 30 000 sertifikater.
Dette inkluderer blant annet Thawte, Verisign, Geotrust og Equifax.
Dette vil utvilsomt få konsekvenser, både for Symatec og for selskapets sertifikatkunder. I planene som nå er lagt fram, fortelles det om tre tiltak som Google planlegger å gjøre for å gjenopprette sikkerheten til Chrome-brukerne.
Ikke første gang: Truer Symantec med sikkerhetsadvarsel i Chrome
Tre tiltak
Det første tiltaket er at Chrome ikke vil akseptere nye, Symantec-utstedte sertifikater med gyldighetstid som er på mer enn ni måneder. Dette for å begrense skadevirkningene av eventuelt nye, feilutstedte sertifikater.
Den andre tiltaket innebærer en gradvis reduksjon i hvor gamle sertifikater Chrome vil støtte, dersom sertifikatene er utstedt av Symantec eller selskapets datterselskaper.
I dag kan man kjøpe sertifikater med minst tre års gyldighetstid. Men fra og med Chrome 59, som etter planen skal utgis den 6. juni i år, vil nettleseren ikke støtte Symantec-utstedte sertifikater som er eldre enn 33 måneder. For hver av de påfølgende Chrome-utgavene, bortsett fra Chrome 63, vil den maksimalt støttede alderen på disse sertifikatene blir redusert med tre måneder, inntil man med Chrome 64 kun godtar Symantec-utstedte sertifikater som er maksimalt ni måneder gamle.
Hensikten med dette er å redusere belastningen på de berørte nettstedene. Likevel vil de løpet av denne perioden måtte fornye sertifikatene sine for å unngå at besøk på nettstedene ender opp med en feilmelding.
Les også: Stanset falske google.com-sertifikater
EV-sertifikater
Det tredje tiltaket er nok det som i første omgang vil få størst konsekvenser. Google planlegger nemlig å fjerne anerkjennelsen av Extended Validation-statusen (EV) til Symantec-utstedte sertifikater. Dette vil i så fall skje så snart planene blir vedtatt.
Når man besøker et nettsted som benytter et EV-sertifikat, kan man se at organisasjonsnavnet til nettstedet vises i adressefeltet til nettleserne. Årsaken til at Google ikke lenger vil anerkjenne EV-sertifikater utstedt av Symantec, er at Google mener at Symantecs kontroll av denne organisasjonsinformasjonen ikke tilfredsstiller den kvaliteten og valideringen som er nødvendig for å oppnå en slik status.
Denne utelukkelse vil vare i minst et år, dersom den iverksettes.
Les også: Nettlesere fjerner støtten for mye brukte gratissertifikater
Markedsledende
Symantec er med de nevnte datterselskapene og varemerkene utvilsomt verdens største utsteder av TLS-sertifikater. Noen ferske, offisielle tall finnes trolig ikke, men ifølge Google var stod Symantec for mer enn 30 prosent av de gyldige sertifikatene i 2015.
En rekke kjente, norske nettsteder kan bli berørt, dersom Google gjennomfører tiltakene. Blant annet bank- og forsikringsselskaper som DNB, Nordea, Sparebank 1 og Storebrand benytter sertifikater utstedt av Symantec-eide virksomheter.
Ikke overraskende er Symantec ikke akkurat positive til Googles planer. Les hele uttalelsen nedenfor.
At Symantec, we are proud to be one of the world’s leading certificate authorities. We strongly object to the action Google has taken to target Symantec SSL/TLS certificates in the Chrome browser. This action was unexpected, and we believe the blog post was irresponsible. We hope it was not calculated to create uncertainty and doubt within the Internet community about our SSL/TLS certificates.
Google’s statements about our issuance practices and the scope of our past mis-issuances are exaggerated and misleading. For example, Google’s claim that we have mis-issued 30,000 SSL/TLS certificates is not true. In the event Google is referring to, 127 certificates – not 30,000 – were identified as mis-issued, and they resulted in no consumer harm. We have taken extensive remediation measures to correct this situation, immediately terminated the involved partner’s appointment as a registration authority (RA), and in a move to strengthen the trust of Symantec-issued SSL/TLS certificates, announced the discontinuation of our RA program. This control enhancement is an important move that other public certificate authorities (CAs) have not yet followed.
While all major CAs have experienced SSL/TLS certificate mis-issuance events, Google has singled out the Symantec Certificate Authority in its proposal even though the mis-issuance event identified in Google’s blog post involved several CAs.
We operate our CA in accordance with industry standards. We maintain extensive controls over our SSL/TLS certificate issuance processes and we work to continually strengthen our CA practices. We have substantially invested in, and remain committed to, the security of the Internet. Symantec has publicly and strongly committed to Certificate Transparency (CT) logging for Symantec certificates and is one of the few CAs that hosts its own CT servers. Symantec has also been a champion of Certification Authority Authorization (CAA), and has asked the CA/Browser Forum for a rule change to require that all certificate authorities explicitly support CAA. Our most recent contribution to the CA ecosystem includes the creation of Encryption Everywhere, our freemium program, to create widespread adoption of encrypted websites.
We want to reassure our customers and all consumers that they can continue to trust Symantec SSL/TLS certificates. Symantec will vigorously defend the safe and productive use of the Internet, including minimizing any potential disruption caused by the proposal in Google’s blog post.
We are open to discussing the matter with Google in an effort to resolve the situation in the shared interests of our joint customers and partners.
Les også: I dag vil mange sikkerhetssertifikater begynne å feile
Svært strengt
Buypass er den eneste utstederen av TLS-sertifikater i Norge. Mads Henriksveen er fagansvarlig for digitale sertifikater i selskapet. Han skriver i en epost til digi.no at han synes at det er svært strenge tiltak som blir foreslått.
– Dette vil kunne ha dramatiske konsekvenser for Symantec og de varemerkene som de eier. Det er jo veldig mange nettsteder som bruker EV-sertifikater fra for eksempel Verisign. Dette må få konsekvenser for bransjen dersom de blir iverksatt, skriver Henriksveen.
Men Google og andre nettleserleverandører har vært strengere før. I flere tilfeller har de tidligere, med nærmest umiddelbar virkning, fjernet støtten for rotsertifikatene til flere sertifikatutstedere som også har feilutstedt sertifikater – i noen tilfeller også med hensikt.
Google er for øvrig usikre på om hva andre nettleserleverandører vil gjøre i dette tilfellet. Selskapet skriver at Apple og Microsoft ikke sier noe offentlig om dette før tiltakene iverksettes. Mozilla pleier å ta slike diskusjoner offentlig, men har ennå ikke startet diskusjonen om hva som skal gjøres.
Et tidligere tilfelle: DigiNotar ligger igjen med brukket rygg