Vesti

Google vs Symantec – borba poverenja

Janko Sikošek
01.08.2017
liustracija dva bela čovečuljka koji obaraju ruke a iznad piše Google vs. Symantec

Poslednjih meseci svi kojima su SSL sertifikati bitni za poslovanje i rad aplikacija pomno prate dešavanja u Google grupi posvećenoj gubitku poverenja Google Chrome tima u procese izdavanja sertifikata od strane Symantec-a. Imajući u vidu lidersku poziciju Symentec-a za izdavanje sertifikata razumljivo je da se radi o bitnim dešavanjima za celu internet zajednicu.

O čemu se zapravo radi

Sve je počelo u januaru ove godine kada su nezavisni istraživači navodno primetili stotinak nepravilno izdatih TLS (transport layer security) sertifikata. Par meseci kasnije, inženjer iz Google-a, Ryan Sleevi je na forumskoj diskusiji Google grupa u martu rekao: „Od 19. januara, tim Google Chrome-a je istraživao seriju grešaka od strane Symantec korporacije u procesu valjane validacije sertifikata. Tokom ove istrage, sa svakim setom novo postavljenih pitanja od strane Google Chrome tima, objašnjenja koje je Symantec pružio otkrila su rastući broj grešaka prilikom izdavanja sertifikata. Od prvobitno pomenutih 127 sertifikata broj je narastao na najmanje 30.000 sertifikata, izdatih tokom perioda od nekoliko godina. Ovo je takođe bilo propraćeno serijom podbacivanja koja su pratila prethodni set loše izdatih sertifikata od strane Symantec-a. Kao rezultat ovoga više nemamo poverenja u izdavanje sertifikata i prakse Symantec-a u proteklih nekoliko godina.

Google je zatim objavio da će postopeno ukidati poverenje u Symantec sertifikate kao i da njihovi EV (Extended Validation) sertifikati neće biti prepoznati, na minimum godinu dana, dok kompanija ne popravi svoje procese za izdavanje sertifikata i povrati poverenje.

Da li se treba zabrinuti i na koga ovaj spor utiče?

Prvo logično pitanje koje svaki korisnik sertifikata postavlja je: da li i kako ovo utiče na mene? Ukratko, predložene promene bi uticatale jednako na sve CAs koji su pod Symantec-om. Ovo uključuje sve sertifikate izdate pre 1. juna 2016. godine:

  • Symantec (Verisign)
  • Thawte
  • GeoTrust
  • RapidSSL

Prema poslednjoj objavi Google-a, Chrome 66 će prestati da veruje sertifikatima Symanteca izdatim pre 1. juna 2016. godine. Očekuje se da će ova verzija Chrome-a ući u svoju beta fazu 15. marta 2018. godine, a stabilna verzija je zakazana za 17. april 2018. godine. Google preporučuje svima da zamene svoje TLS sertifikate pre 15. marta 2018. godine u cilju sprečavanja kvarova.

Po poslednjim vestima, predloženi tajmlajn od strane Google je sledeći:

(izvor)

Diskusija između svih aktera još uvek je u toku i kako još uvek nije bilo nijedne formalne objave od bilo koje strane, ne treba uzimati sve za gotovo. Ukoliko prepoznajete sebe kao nekog na koga ove promene mogu uticati preporučujemo Vam da pratite razvoj događaja na internetu, a mi ćemo objaviti ključne informacije na našem blogu ako i kada budu bile zvanično dostupne.

 

Tagovi:

https ssl sertifikati

Ostavi komentar

Vaša adresa neće biti objavljena

Slični postovi