Что делать, если купили сертификат SSL Symantec, который Google и Mozilla блокируют и считают недоверенным?
Почему Google и Mozilla считают SSL сертификаты Symantec недоверенными. И что делать тем, кто уже купил SSL сертификационного центра Symantec.
Разложим все по полочкам в данной статье.
Symantec - крупнейший игрок на рынке SSL сертификатов. Компания занимает 3 (!) место во всем мире по выпуску SSL. Тем не менее, в конце марта 2017 года инженерами Google и Mozilla был выявлен ряд нарушений по выписке SSL, которые послужили дальнейшему расследованию и в последствии, было принято решение о блокировке данных сертификатов в Google Chrome и Mozilla. Т.е. теперь при переходе на сайт с SSL сертификатом, выписанным Symantec, будет выдаваться предупреждение о незащищенном соединении.
Основная причина такого решения - выдача сотрудниками Symantec SSL сертификатов без проверки доменов со стороны удостоверяющего центра. Это привело к тому, что Symantec выдавали сертификаты не владельцам доменов, а лицам не имеющих прав на данные домены. В ряде таких доменов оказались и принадлежащие Google (google.com, gmail.com, gstatic.com). Кроме того, был выявлен ряд сертификатов, выданных и вовсе на несуществующие (не зарегистрированные) домены.
Кого коснется?
Если вы приобрели SSL группы компаний Symantec или только планируете.
В данную группу входят следующие бренды:
Symantec
Thawte
GeoTrust
RapidSSL
Что делать тем, кто приобрел SSL группы компаний Symantec?
Во-первых, не паниковать. На данный момент, все сертификаты валидны и изменения вступят в силу только в 2018 году, когда Google выпустит новую бета версию Chrome 66. Тогда все сертификаты, выпущенные до 1.06.2016, будут считаться не доверенными, т.е. при переходе на сайт с таким сертификатом, будет выводится грозное предупреждение о том, что соединение не безопасно.
Это станет вторым этапом по реализации плана Google
Поэтапный план Google
В первую очередь, начиная с 24.10.2017 года, в версии Chrome 62 будет выводится оповещение о том, что сертификат утратил доверие
Во-вторую очередь, начиная с 15 марта 2018 года, вместе с запуском бета версии Chrome 66, все сертификаты, выпущенные до 1.06.2016, будут считаться не доверенными.
И в-третью очередь (завершающий этап), начиная с 13 сентября 2018 года, все сертификаты, выпущенные до 1.12.2017 года в новой версии Chrome 70, будут считаться также недействительными.
Стоит еще отметить, что на данный момент, компания Symantec объявила о начале партнерства с другим удостоверяющим центром (DigiCert), который будет выпускать SSL сертификаты Symantec, используя уже новую, доработанную под стандарты безопасности инфраструктуру. Таким образом, SSL сертификаты, выпущенные после 12.12.2017 будут считаться доверенными.
А конкретнее? Что делать?
Еще раз, не паникуйте. Время есть. Вы можете продлить выписанный сертификат Symantec, Thawte, GeoTrust или RapidSSL, согласно нижеприведенному плану или выпустить сертификат другого бренда. Например, GlobalSign или Comodo
Если хотите перевыпустить SSL Symantec, Thawte, GeoTrust или RapidSSL
Если вы приобрели SSL сертификат до 1.06.2016, то вам нужно перевыпустить его до 14.03.18, т.е. до выхода новой версии Chrome 66.
Если ваш SSL выпущен в период с 1.06.2016 по 1.12.2017, а срок его действия истекает только после 13.09.2018, то вам следует перевыпустить SSL до даты окончания (до 13.09.2018) года, т.е. до выхода в релиз новой версии Chrome 70.
И если срок действия вашего SSL - сертификата истекает до 1.12.2017 года, то вы можете продлить его, но в дальнейшем, вам придется перевыпустить его до 13.09.2018 года.
Если решили перейти на другой бренд
Вы можете также перевыпустить SSL сертификат через другой удостоверяющий центр, например, GlobalSign или Comodo. Это может быть проще и дешевле, тем более , что многие компании будут предоставлять скидки. Мы, например, точно :)
Об альтернативных удостоверяющих центрах, которые мы можем смело рекомендовать.
GlobalSign - это флагман в мире SSL-сертификатов. Обеспечивает 2048-битную устойчивую SSL-защиту и содержит только заверенные сведения об организации. Сертификат обеспечивает быструю загрузку и улучшенную производительность сервера. Также, предоставляется бесплатный cервис обнаружения фишинг-атак, повторный выпуск без ограничений во время срока действительности сертификата. Имея богатый опыт работы с данным сертификационным центром, мы можем смело рекомендовать GlobalSign.
Comodo - популярный во всем мире сертификационный центр, лидер рынка SSL, который известен своей щепетильностью и строгостью проверок в отношении выписки SSL сертификатов. Данные SSL сертификаты могут потребовать больше времени на выпуск, но зато вы будете уверены в том, что пройдена полная и строгая проверка по всем правилам.
