Juha Leivo
Labs / 24 maa 2017

Google esittää Symantecin varmenteiden vähittäistä hylkäämistä

Juha Leivo

Internetyritys Google esitti torstaina maaliskuun 23. päivänä kehittäjäfoorumillaan ehdotuksen, että se alkaa vähitellen mitätöimään Symantecin varmenteita, Symantecin jäätyä kiinni myönnettyään virheellisesti 30 000 sertifikaattia viime vuosina. Symantec oli myöntänyt sertifiointioikeuksia ulkopuolisille toimijoille, joista neljä olivat Symantecin valvonnan alaisina myöntänyt sertifikaatteja virheellisesti. Googlen ja Mozillan selvitysten mukaan Symantec oli tietoinen ainakin yhden toimijan virheellisestä toiminnasta.

Mikäli muutosehdotus hyväksytään vaikutusaikataulu on seuraava:
 

Versio

Arvioitu julkaisupäivä

Hyväksytty voimassaoloaika

59

6. kesäkuuta, 2017

33 kuukautta

60

1. elokuuta, 2017

27 kuukautta

61

12. syyskuuta, 2017

21 kuukautta

62

24. lokakuta, 2017

15 kuukautta

63

12. joulukuuta, 2017

15 kuukautta

64

Päivämäärää ei vielä julkaistu

9 kuukautta

 
Loppukäyttäjät alkavat Chrome 59:stä alkaen saamaan varoituksia virheellisistä varmenteista, mikäli ne ovat Symantecin myöntämiä. Varmenne tulkitaan virheelliseksi, jos sen voimassaoloaika on pidempi kuin 33 kuukautta. Voimassaoloajan vaatimus kiristyy esitetyn aikataulun mukaisesti seuraavan vuoden verran.

Lisäksi Symantec Extended Validation (EV) -varmenteille ei enää myönnetä Extended Validation statusta, vaan ne tulkitaan normaaleiksi Domain Validation (DV) -varmenteiksi. Mikäli muutos hyväksytään, muutos astuu voimaan välittömästi ja on voimassa vähintään vuoden, tai niin kauan kunnes Symantec on korjannut sertifikaatin myöntämisprosesseja sellaiselle tasolle, että Google voi siihen jälleen luottaa. Loppukäyttäjät eivät enää näe vihreää osoitekenttää selaimessa sikäli sivusto käyttää Symantecin myöntämää EV-varmennetta.

Mitä Symantec sertifikaattien käyttäjien tulee tehdä muutoksen takia?

Jos ostatte DV-varmenteita Symantecilta, Verisignilta, Thawtelta, GeoTrustilta, tai Equifaxilta aloittakaa varmenteiden vaihtaminen varmenteisiin, jotka ovat voimassa enintään 9 kuukautta. Jos taas ostatte EV-varmenteita kyseisiltä yrityksiltä aloittaa neuvottelut toisen toimittajan kanssa EV-varmenteiden hankkimisesta. Googlen päätöstä asian suhteen kannattaa seurata, sillä jos Google päättää toimia, yritysten tulee aloittaa varmenteidensa vaihto säilyttääksensä luotettavuutensa.

Onko tietoturva vaarantunut?

Mikäli EV-luottomuutos tapahtuu, loppukäyttäjät eivät näe eroa DV- ja EV-varmenteiden välillä. Tämä näkyy selaimen osoiterivin värin muutoksena vihreästä valkoiseksi. Tämä ei suoranaisesti avaa hyökkääjille helppoa hyökkäystapaa, mutta voi laskea kuluttajan luottamusta sivustoon ja aiheuttaa yhteydenottoja asiakaspalveluun. Jos varmenteiden voimassaolomuutos tulee voimaan, eikä sivuston omistaja uusi varmenteita, kohtaavat sivuston käyttäjät varmennevirheitä. Normaalisti varmennevirheet ovat indikaatio hyökkääjän toimista. Näin ollen jos normaali yhteys sekä väärennetty yhteys sivustoon aiheuttavat kumpikin varmennevirheitä, loppukäyttäjä ei voi tunnistaa hyökkäystä, eikä näin ollen voi luottaa sivuston sisältöön.