Wycofanie zaufania do infrastruktury klucza publicznego firmy Symantec – wymagane natychmiastowe działanie operatorów witryn

Środa, 4 kwietnia 2018 roku

Opublikowano również we wpisie na blogu Google o bezpieczeństwie.

Jakiś czas temu ogłosiliśmy plany wycofania zaufania Chrome do jednostki certyfikacji Symantec (w tym do marek należących do firmy Symantec takich jak Thawte, VeriSign, Equifax, GeoTrust i RapidSSL). W dzisiejszym poście pokażemy, jak operatorzy witryn mogą sprawdzić, czy ta zmiana nie dotyczy ich witryn, a jeśli tak – co muszą zrobić i w jakim terminie. Jeśli nie zastąpisz wycofanych certyfikatów, w następnych wersjach głównych przeglądarek – w tym Chrome – witryna nie będzie działać prawidłowo.

Chrome 66

Jeśli Twoja witryna korzysta z certyfikatu SSL/TLS firmy Symantec wydanego przed 1 czerwca 2016 roku, przestanie działać w Chrome 66, co może już teraz mieć wpływ na użytkowników.

Jeśli nie masz pewności, czy witryna korzysta z takiego certyfikatu, możesz wyświetlić podgląd zmian w Chrome Canary, gdzie sprawdzisz, czy ta zmiana ma na nią wpływ. Jeśli podczas łączenia się z witryną zobaczysz w Narzędziach dla programistów poniższy błąd lub ostrzeżenie dotyczące certyfikatu, musisz zastąpić certyfikat. Nowy certyfikat możesz uzyskać od dowolnej zaufanej jednostki certyfikacji, w tym też od Digicert, który niedawno przejął jednostkę certyfikacji firmy Symantec.

Przykładowy błąd certyfikatu, który użytkownicy Chrome 66 mogą zobaczyć,
Przykładowy błąd certyfikatu, który użytkownicy Chrome 66 mogą zobaczyć, jeśli korzystasz ze starego certyfikatu SSL/TLS firmy Symantec wydanego przed 1 czerwca 2016 r.
Komunikat w Narzędziach deweloperskich, który zobaczysz, jeśli musisz wymienić certyfikat przed wprowadzeniem Chrome 66.
Komunikat w Narzędziach dla programistów, który zobaczysz, jeśli musisz wymienić certyfikat przed wprowadzeniem Chrome 66.

Chrome 66 został już opublikowany w wersji Canary i deweloperskiej, co oznacza, że użytkownicy korzystający z tych wersji mają już problemy z używaniem witryn ze starymi certyfikatami. Jeśli do 15 marca 2018 roku nie zostaną one zastąpione, problemy wystąpią także u użytkowników Chrome w wersji beta. Jeśli Twoja witryna wyświetla błąd w wersji Chrome Canary, zdecydowanie zalecamy jak najszybszą wymianę certyfikatu.

Chrome 70

W Chrome 70 wycofamy obsługę wszystkich pozostałych certyfikatów SSL/TLS firmy Symantec, co będzie powodowało pojawianie się błędu certyfikatu (jak pokazaliśmy powyżej). Aby sprawdzić, czy Twój certyfikat nie jest zagrożony, w Chrome przejdź do swojej witryny i otwórz Narzędzia dla programistów. W konsoli zobaczysz komunikat z informacją, czy musisz wymienić certyfikat.

Komunikat w Narzędziach deweloperskich, który zobaczysz, jeśli musisz wymienić certyfikat przed wprowadzeniem Chrome 70.
Komunikat w Narzędziach deweloperskich, który zobaczysz, jeśli musisz wymienić certyfikat przed wprowadzeniem Chrome 70.

Jeśli widzisz ten komunikat w Narzędziach dla programistów, jak najszybciej zmień certyfikat. Jeśli tego nie zrobisz, już od 20 lipca 2018 roku użytkownicy będą widzieć błędy certyfikatu w Twojej witrynie. Pierwsze wydanie Chrome 70 w wersji beta planowane jest na około 13 września 2018 r.

Spodziewany harmonogram publikowania wersji Chrome

W tabeli poniżej znajdziesz harmonogram publikowania pierwszej wersji Canary, pierwszej wersji beta oraz stabilnej wersji Chrome 66 i 70. Pierwsze utrudnienia u użytkowników danej wersji wystąpią po opublikowaniu pierwszej wersji Canary, po czym będą obejmowały coraz szersze grono odbiorców po wprowadzeniu wersji beta i w końcu wersji stabilnej. Zdecydowanie zachęcamy operatorów witryn do wprowadzenia wymaganych zmian przed opublikowaniem pierwszej wersji Canary Chrome 66 i 70, nie później niż w dniu wydania odpowiednich wersji beta.

Wersja Pierwsza wersja Canary Pierwsza wersja beta Wersja stabilna
Chrome 66 20 stycznia 2018 r. ok. 15 marca 2018 r. ok. 17 kwietnia 2018 r.
Chrome 70 ok. 20 lipca 2018 r. ok. 13 września 2018 r. ok. 16 października 2018 r.

Informacje o harmonogramie wydawania konkretnej wersji Chrome możesz też znaleźć w Kalendarzu programistów Chromium, który w razie zmian planów będzie odpowiednio aktualizowany.

Aby zaspokoić potrzeby określonych użytkowników firmowych, Chrome wdroży także Politykę dla przedsiębiorstw, dzięki której od Chrome w wersji 66 będzie można wyłączać cofnięcie zaufania do starej infrastruktury klucza publicznego firmy Symantec. Od 1 stycznia 2019 roku te zasady nie będą już dostępne i zaufanie do starej infrastruktury zostanie cofnięte u wszystkich użytkowników.

Uwaga specjalna: Chrome 65

Jak wskazaliśmy w poprzednim poście, certyfikaty SSL/TLS pochodzące ze starej infrastruktury klucza publicznego firmy Symantec wydane po 1 grudnia 2017 roku nie są już zaufane. Większość operatorów witryn nie odczuje tej zmiany, ponieważ uzyskanie takich certyfikatów wymaga zawarcia specjalnej umowy z DigiCert. Od Chrome w wersji 65 nie będzie już można otwierać witryn wyświetlających taki certyfikat, a ich żądania będą blokowane. Aby uniknąć takich problemów, upewnij się, że certyfikaty są wyświetlane tylko na starszych urządzeniach, a nie w przeglądarkach takich jak Chrome.

Autorzy: Devon O’Brien, Ryan Sleevi i Emily Stark, zespół ds. bezpieczeństwa Chrome