L'Infrastruttura a chiave pubblica di Symantec non è più affidabile: azione immediata richiesta per gli operatori dei siti

Mercoledì 4 aprile 2018

Pubblicazione incrociata dal blog sulla sicurezza di Google.

In precedenza abbiamo annunciato di voler ritirare l'attendibilità di Chrome nell'autorità di certificazione Symantec (inclusi i brand di proprietà di Symantec, come Thawte, VeriSign, Equifax, GeoTrust e RapidSSL). Questo post descrive in che modo gli operatori di siti possono determinare se sono interessati da questo ritiro e, in tal caso, cosa devono fare ed entro quando. La mancata sostituzione di questi certificati comporterà l'interruzione del sito nelle prossime versioni dei principali browser, tra cui Chrome.

Chrome 66

Se il vostro sito utilizza un certificato SSL/TLS di Symantec rilasciato prima del 1° giugno 2016, smetterà di funzionare in Chrome 66, il che potrebbe già avere un impatto sugli utenti.

Se avete dubbi sull'utilizzo del certificato per il vostro sito, potete visualizzare un'anteprima di queste modifiche in Chrome Canary per vedere se il vostro sito è interessato. Se vi collegate al vostro sito e viene mostrato un errore del certificato o un avviso in DevTools come mostrato di seguito, dovete sostituire il certificato. Potete ottenerne uno nuovo da qualsiasi autorità di certificazione attendibile, inclusa Digicert, che ha recentemente acquisito l'attività di Symantec.

Un esempio di errore del certificato che gli utenti di Chrome 66 potrebbero vedere
Un esempio di errore del certificato che gli utenti di Chrome 66 potrebbero vedere se utilizzate un certificato SSL/TLS di Symantec precedente emesso prima del 1° giugno 2016.
Il messaggio di DevTools che spiega che dovete sostituire il certificato prima di Chrome 66.
Il messaggio di DevTools che verrà visualizzato se dovete sostituire il certificato prima di Chrome 66.

Chrome 66 è già stato rilasciato sui canali Canary e Dev, il che significa che i siti interessati coinvolgono già gli utenti di questi canali Chrome. Se i siti interessati non sostituiscono i loro certificati entro il 15 marzo 2018, anche gli utenti di Chrome Beta inizieranno a riscontrare gli errori. Vi consigliamo vivamente di sostituire il certificato appena possibile se il vostro sito mostra al momento un errore in Chrome Canary.

Chrome 70

A partire da Chrome 70, tutti i certificati SSL/TLS Symantec rimanenti smetteranno di funzionare, causando un errore del certificato come quello mostrato in precedenza. Per verificare se il vostro certificato sarà coinvolto, visitate il vostro sito su Chrome oggi stesso e aprite DevTools. Nella console verrà visualizzato un messaggio che vi informa se dovete sostituire il certificato.

Il messaggio di DevTools che spiega che dovete sostituire il certificato prima di Chrome 70.
Il messaggio di DevTools che spiega che dovete sostituire il certificato prima di Chrome 70.

Se vedete questo messaggio in DevTools, vi consigliamo di sostituire il certificato appena possibile. Se i certificati non vengono sostituiti, gli utenti inizieranno a visualizzare errori dei certificati sul vostro sito a partire dal 20 luglio 2018. La prima release di Chrome 70 Beta sarà disponibile intorno al 13 settembre 2018.

Date delle release previste di Chrome

La tabella seguente mostra la prima Canary, la prima beta e la release stabile per Chrome 66 e 70. Il primo impatto di una determinata release coinciderà con la prima Canary, raggiungendo un pubblico in costante espansione man mano che la release raggiunge la versione beta e infine quella stabile. Consigliamo vivamente agli operatori di siti di apportare le modifiche necessarie ai loro siti in anticipo rispetto alla prima versione Canary per Chrome 66 e 70 e non oltre le date di rilascio delle beta corrispondenti.

Release Prima Canary Prima versione beta Release stabile
Chrome 66 20 gennaio 2018 ~ 15 marzo 2018 ~ 17 aprile 2018
Chrome 70 ~ 20 luglio 2018 ~ 13 settembre 2018 ~ 16 ottobre 2018

Per informazioni sulla cronologia di rilascio di una determinata versione di Chrome, potete anche consultare il calendar di sviluppo di Chromium, che verrà aggiornato in caso di modifica del programma delle release.

Per soddisfare le esigenze di alcuni utenti aziendali, Chrome implementerà anche un criterio aziendale che consente la disattivazione della non attendibilità dell'Infrastruttura a chiave pubblica di Symantec precedente a partire da Chrome 66. A partire dal 1° gennaio 2019, questo criterio non sarà più disponibile e l'Infrastruttura a chiave pubblica di Symantec precedente verrà considerata non attendibile per tutti gli utenti.

Menzione speciale: Chrome 65

Come indicato nell'annuncio precedente, i certificati SSL/TLS dell'Infrastruttura a chiave pubblica di Symantec precedente emessi dopo il 1° dicembre 2017 non sono più considerati attendibili. Ciò non dovrebbe influire sulla maggior parte degli operatori di siti, poiché richiede l'accesso a un contratto speciale con DigiCert per ottenere questi certificati. L'accesso a un sito che pubblica il certificato non andrà a buon fine e la richiesta verrà bloccata a partire da Chrome 65. Per evitare errori di questo tipo, assicuratevi che questi certificati vengano pubblicati solo sui dispositivi precedenti e non su browser come Chrome.