Közzétette a Symantec-féle biztonsági tanúsítványok kivezetésének menetrendjét a Google, ebben részletezi, hogy pontosan milyen időpontoktól tagadja meg e tanúsítványok elfogadását a Chrome böngészőben. A hosszúra nyúlt Symantec-Google konfliktus ezzel a végéhez ér, 2018 végére az összes ilyen tanúsítványt kivezeti a böngésző.

Szigorú menetrend

Az első mozzanat a Chrome 66-tal érkezik meg, a jelenlegi terméktervek szerint várhatóan 2018 április 17 körül kapja meg a stabil plecsnit és érkezik meg automatikus frissésként a felhasználók gépeire. Ez a kiadás vonja meg a bizalmat a 2016 június elseje előtt kibocsátott Symantec-féle tanúsítványoktól - az ilyen tanúsítványt használó oldalaknak tehát új tanúsítványt kell beszerezniük áprilisig.

A Google megjegyzi, hogy a Symantec-DigiCert tranzakció nyomán a PKI infrastruktúra működtetését a DigiCert veszi majd át december 1-től, így ennek megfelelően ezután az időpont után kiadott Symantec-tanúsítványokat a böngésző már nem fogadja érvényesként.

A következő fontos dátum pedig a Chrome 70 stabil kiadása lesz, ez várhatóan 2018 október 23 körül esedékes. Ez a kiadás már teljesen megvonja a bizalmat a Symantec által kibocsátott összes tanúsítványtól. A lépés érinti a Symantec root tanúsítványokhoz kötődő tanúsítványokat is, kivéve néhány független másodlagos kibocsátót, amelyek átmentek egy független auditon és megbízhatónak minősültek.

A lépések következtében sok weboldal a tanúsítvány cseréjére szorul majd - adott esetben kétszer is. Először tehát a 2016 június 1 előtt kibocsátott tanúsítványokat kell frissíteni, majd (ha a cserét is a Symantectől szerezzük be) még egy csere jön 2018 októberében.

Nem tetszik a rendszer

A Google lépésének bőven van előzménye, a cég a meglepő keménységgel a PKI-t (public key infrastructure) szeretné megvédeni. A Symantec és partnerei ugyanis korábban több olyan ballépést követtek el, amelyek nem férnek össze a tanúsítványkibocsátó (CA) elvárt viselkedésével. Legutóbb januárban adott ki a Symantec néhány (nyilvánvalóan tesztelésre használt) tanúsítványt, amelyet Andrew Ayer, az SSLMate alapítója fedezett fel. Ezzel az a probléma, hogy ehhez teljesen hivatalos tanúsítványt hozott létre más entitásokhoz tartozó doménre: szó szerint ez a legnagyobb bűn, amit egy kibocsátó elkövethet.

Ennél komolyabb probléma, hogy sorban ez a sokadik ilyen téves kibocsátás volt, ami világosan rámutatott, hogy a Symantecnél egyszerűen nincs semmilyen kontrollja a kibocsátásnak, az egyes alkalmazottak ötletszerűen adnak ki tanúsítványokat. Miközben a CA-kat igen szigorú eljárási szabályzat köti, amely precíz jóváhagyási folyamatot ír elő minden kibocsátás esetére ami pont az ilyen illetéktelen kibocsátást hivatott meggátolni.

A Symantec időközben fel is adta, a felvásárlásokkal hatalmasra növesztett tanúsítvány-bizniszt egyben értékesítette augusztusban a DigiCertnek 950 millió dollárért. A tanúsítvány-infrastuktúra fölött az új tulajdonos december 1-től veszi át teljes mértékben az irányítást, ettől a naptól a Google Chrome is újra megbízhatónak fogja azt minősíteni.