V říjnu 2018 bude v prohlížečích Chrome a Firefox definitivně vyřazena důvěryhodnost certifikátů vydaných společností Symantec před 1. prosincem 2017. Týká se kompletně certifikátů autorit Symantec, GeoTrust, RapidSSL, Thawte a Verisign.
Jak jsme psali v našem článku Google kontra Symantec, tento podzim se završí problémy, které měla společnost Symantec s vystavováním neověřených certifikátů, mimochodem i pro doménu google.com. Z tohoto důvodu budou staré certifikáty znedůvěryhodněny a pokud bude na doméně takový certifikát, návštěvníkovi se zobrazí v Chrome tato stránka.
Pouze zkušený uživatel klikne na volbu ADVANCED bude schopen povolit a zobrazit www stránky.
Důležité termíny
Prohlížeče, které odstraní důvěru ve starou PKI infrastrukturu společnosti Symantec. Jakýkoliv certifikát vydaný společností Symantec nebo některou z jejich značek (Geotrust, Thawte, RapidSSL) nebude v prohlížečích důvěryhodný a návštěvník uvidí pouze upozornění o nedůvěryhodnosti.
- 14. srpen 2018 – vydání Firefox Nightly
- 13. září 2018 – vydání Chrome 70 Beta
- 16. říjen 2018 – vydání Chrome 70 ve stable verzi
- 23. říjen 2018 – vydání Firefox 63 ve stable verzi
Společnost Apple se také přidala a vyřadí důvěryhodnost certifikátů ve svých produktech na podzim 2018.
Končí Symantec, RapidSSL a další autority?
Máme hodně dotazů od zákazníků, že například populární certifikáty RapidSSL již nebudou funkční a nemá je smysl kupovat. Toto není samozřejmě pravda a je potřeba vše uvést na pravou míru.
Certifikáty vydané na nové infrastruktuře DigiCert jsou a budou nadále důvěryhodné a funkční.
Tj. všechny SSL certifikáty značek Thawte, Geotrust, RapidSSL a Symantec vydané po 1. 12. 2017 budou bez problému funkční a majitelé stránek se nemusí obávat, že by se návštěvníci na jejich stránky nedostali.
Jak poznám, že mám starý certifikát?
Zjistit, zda jsou stránky zabezpečené certifikátem, který bude nedůvěryhodný, je v prohlížeči Chrome velice jednoduché. Stačí na stránkách zmáčknout klávesu F12, případně CTRL+SHIFT+J, která otevře Vývojářskou konzoli („Console“), ve které bude zvýrazněná textová informace o ukončení podpory.
The SSL certificate used to load resources from https://domena-xyz.cz will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
Odkaz vede na Google Security Blog, kde jsou uvedeny podrobnější informace k ukončení podpory důvěrnosti certifikátů Symantec.
Co dělat v případě že mám starý certifikát?
Podle informací provedených autoritou Comodo je stále provozováno obrovské množství Symantec certifikátů, které budou brzy nedůvěryhodné. Majitel takového certifikátu má několik možností jak situaci vyřešit. Nejlepším způsobem je provést tzv. Reissue a nainstalovat nový certifikát. Obnova je zdarma, ale je nutné provést nové ověření. Pokud certifikát expiruje v dohledné době, je lepší koupit nový jako prodloužení stávajícího a nechat si připočíst nevyužité období starého k novému. Poslední možností je nákup nového, jiného SSL certifikátu, například od certifikační autority Comodo.
Nezapomeňte, že obnovit SSL certifikáty můžete také na projektu SSLmentor!
Zajímavé zdroje:
- Časová osa: Nesrovnalosti certifikační autority společnosti Symantec
- Jak se DigiCert vypořádává se statisíci dotčených certifikátů