Google vie Symantecin saunan taakse väärin myönnetyistä, valideista HTTPS serteistä (30000kpl)

[Lagittaja]

Google-ryhmät

Google takes Symantec to the woodshed for mis-issuing 30,000 HTTPS certs

Tl;dr Symantec on myöntänyt valideja serttejä väärin perustein.
Välittömästi Chrome lakkaa tunnistamasta Symantecin omistamien sertifikaatti varmentajien myöntämien sertifikaattien extended validation statuksen.

Extended validation certificates are supposed to provide enhanced assurances of a site's authenticity by showing the name of the validated domain name holder in the address bar. Under the move announced by Sleevi, Chrome will immediately stop displaying that information for a period of at least a year. In effect, the certificates will be downgraded to less-secure domain-validated certificates.

Jatkossa Google aikoo päivittää Chromen käytännössä mitätöimään kaikki nykyiset, validit Symantecin myöntämät sertifikaatit.
Häiriöiden välttämiseksi Chrome aikoo porrastaa serttien massa mitätöinnin tavalla joka vaatii niiden vaihtamisen ajan kuluessa.
Tehdäkseen tämän Chrome tulee pienentämään Symantecin myöntämien serttien "maksimi ikää" useamman julkaisun myötä.
59 versiossa voimassaoloaika tulee olemaan 33 kuukautta myöntämispäivästä kun taas 64 versiossa se tulee olemaan 9kk.

The penalties immediately revoke only the status of extended validation certificates issued by Symantec, a move that is likely to be a major annoyance to many Symantec customers and their website visitors, but not make sites unavailable. The untrusting of all Symantec certificates, meanwhile, has a much higher potential of creating Internet-wide problems.

As Sleevi explained it: "By phasing such changes in over a series of releases, we aim to minimize the impact any given release poses, while still continually making progress towards restoring the necessary level of security to ensure Symantec-issued certificates are as trustworthy as certificates from other CAs."

On kyllä munaa Googlella. Ja Symantecilla otsaa väittää Googlen toimia "irresponsible", pari kolme väärin myönnettyä serttiä voisin ymmärtää mutta että 30'000?

Edit: Symantec omistaa ainakin VeriSign, GeoTrust, Thawte, RapidSSL ja TC TrustCenter.
Katsokaa huvin vuoksi sivustoja millä vierailette että kenenkä myöntämä sertifikaatti siellä on, täällä io-techissähän on Let's Encrypt
Google ryhmät postauksesta

In January 2015, Symantec-issued certificates represented more than 30% of the valid certificates by volume. While changes in the CA ecosystem have seen that share decrease over the past two years, there is still a significant compatibility risk for an immediate and complete distrust.
....
From Mozilla Firefox’s Telemetry, we know that Symantec issued certificates are responsible for 42% of certificate validations. However, this number is not strictly an indicator for impact, as this number is biased towards counting certificates for heavily-trafficked sites, and whose issuance is fully automated and/or whose validity periods will be unaffected, thus significantly overstating impact.

 

[galeido]

Off-topic uutisen alle liittyen Let's Encrypt

Let's Encrypt Has Issued Certificates to Over 14,000 PayPal Phishing Sites - action on tehty asian korjaamiseksi.

Tuntuu monella SSL sertifikaatteja myöntävällä taholla olevan hankaluuksia pärjätä nykyisien vaatimuksien kanssa. Pelottava tosiasia, ei hyvä sellainen.

 

[Obi-Lan]

No voi prkl!! "muutama" noita Geotrust/RapidSSL sertejä tullut hakattua maailmalle. Toisaalta onneksi ei yhtään EV sertiä. Onneks noissa on muutenkin jo maksimi ikä 3v, joten toi Googlen tempaus ei ihan heti vedä noita kaikkia kuralle. Mitäs vaihtoehtoja tässä jää jäljelle, mikä ei ole Symantecin omistama tai mikä ei ole myyty mystisesti Kiinaan?

Let's Encryptissä on taas hämmentänyt juurikin toi hankijan anonyymi validointi. Normaaleissa pitää jättää jonkilainen tieto kuka sen sertin on hankkinut, kun tuon sertin pitäisi periaatteessa myös todistaa että sen taustalla on olemassa oikea henkilö tai yritys.

 

[Nerkoon]

Let's Encryptillä tämäkin sivusto pyörii. Toivottavasti noitakin ei peruuteta tai Sampsalle tuli sertin metsästys eteen.

 

[Razarnet]

Sertejä tarjoavia tahoja riittää, mutta jos sertin joutuu vaihtamaan tulee siitä turhaa hommaa ja ylimääräinen kustannuserä, en usko Let's encryptin peruuttamiseen muilta paitsi väärinkäyttäjiltä, tuskin niiltäkään koska sertifikaatin myöntäjä ei vastaa siitä millaista toimintaa lopulta domainilla pyörii. Domainin hankkijasta jää kyllä tieto yritykselle kuka sen on myöntänyt joten vuokraajan nimi ja maksutiedoilla päästään vilperttien perään tarvittaessa. Toki jos sertifikaatti on onnistuttu ostamaan väärennetyillä yhteystiedoilla paypalia käyttäen jonkin olemattoman yrityksennimiin ja laitettu hämärä nettikauppa/sivusto pystyyn sertin myöntäjä voisi yksinkertaisesti poistaa tälläiset domainit listaltaan ja serti lopettaa olemasta luotettu.