Среда, 4 апреля 2018 г.
Кросс-публикация из блога Google о безопасности в интернете.
Мы уже сообщали о прекращении поддержки в Chrome сертификатов, выданных центром сертификации компании Symantec, а также ее дочерними организациями, такими как Thawte, VeriSign, Equifax, GeoTrust и RapidSSL. Ресурсы с подобными сертификатами не будут показываться в последних версиях популярных браузеров, таких как Chrome. Из этого сообщения вы узнаете, какие действия необходимо выполнить и к какому сроку, если упомянутое изменение касается вашего ресурса.
Chrome 66
Сайты, использующие сертификаты SSL/TLS, которые были выданы центром сертификации компании Symantec до 1 июня 2016 г., перестанут работать в браузере Chrome версии 66. Не исключено, что ваши пользователи с этим уже столкнулись.
Проверку можно выполнить в браузере Chrome Canary. Если при попытке открыть сайт появится сообщение об ошибке или предупреждение, примеры которых представлены ниже, значит вам нужно заменить сертификат. Получить новый сертификат можно в любом доверенном центре сертификации. В частности, вы можете обратиться в компанию DigicCert, которая недавно приобрела центры сертификации Symantec.
Поскольку версия 66 уже доступна пользователям Canary и разработчикам, у них может возникнуть проблема при просмотре сайтов с недействительными сертификатами. Если не заменить сертификат на таких сайтах до 15 марта 2018 г., то аналогичные затруднения возникнут у пользователей бета-версии Chrome. Таким образом, если при попытке открыть сайт в браузере Chrome Canary появляется сообщение об ошибке или предупреждение, рекомендуем как можно скорее получить действительный сертификат.
Chrome 70
В браузере Chrome версии 70 и выше перестанут поддерживаться все сертификаты SSL/TLS, выданные центрами компании Symantec. В результате при попытке открыть сайт с такими сертификатами будет появляться сообщение об ошибке, пример которого приведен ниже. Чтобы выполнить проверку, перейдите на свой сайт в текущей версии браузера Chrome и откройте Инструменты разработчика. Если вам необходимо заменить сертификат, сообщение об этом появится в консоли.
Если вы видите такое сообщение в консоли, рекомендуем заменить сертификат как можно быстрее. В противном случае после 20 июля 2018 г. пользователям будет показываться сообщение об ошибке с сертификатом. Версия 70 браузера Chrome будет доступна в режиме бета-тестирования примерно с 13 сентября 2018 г.
Примерный график выпуска версий Chrome
В таблице ниже представлены сроки выпуска различных версий браузеров Chrome 66 и 70. Сначала с проблемами при просмотре сайтов с неподдерживаемыми сертификатами столкнутся пользователи первой версии Canary. Затем аналогичные проблемы будут возникать у все большего числа пользователей по мере выпуска первой бета-версии и основной версии. Настоятельно рекомендуем вам реализовать необходимые изменения на своих ресурсах до выпуска первой версии Canary для Chrome 66 и 70, а если эти сроки вам не подходят, то не позже дат выпуска соответствующей бета-версии.
| Версия | Первая версия Canary | Первая бета-версия | Основная версия |
| Chrome 66 | 20 января 2018 г. | Примерно 15 марта 2018 г. | Примерно 17 апреля 2018 г. |
| Chrome 70 | Примерно 20 июля 2018 г. | Примерно 13 сентября 2018 г. | Примерно 16 октября 2018 г. |
Актуальные сведения о сроках выпуска различных версий браузера также представлены в специальном календаре.
В соответствии с требованиями некоторых компаний мы выпустим для браузера Chrome политику в отношении предприятий, которая разрешит прекратить поддержку устаревших сертификатов Symantec PKI для браузера Chrome версии 66 и выше. С 1 января 2019 г. этот документ перестанет действовать, а поддержка всех подобных сертификатов будет прекращена.
Важная информация о Chrome 65
Как мы анонсировали ранее, поддержка устаревших сертификатов, выпущенных центрами Symantec PKI после 1 декабря 2017 г., была прекращена. Поскольку для получения такого сертификата требуется заключить специальный договор с компанией DigiCert, это положение не распространяется на большинство ресурсов. В браузере Chrome версии 65 и выше открыть сайт с устаревшим сертификатом нельзя, а соответствующий запрос блокируется. Чтобы избежать этого, убедитесь, что сайты с этими сертификатами показываются только на подходящих устройствах и недоступны для браузеров, таких как Chrome.