Google Chrome gaat SSL-certificaten Symantec straffen. Wat zijn de gevolgen?

Google Chrome SSL Certificate
Google Chrome SSL Certificate
Home / Blog & Nieuws / Security / Google Chrome gaat SSL-certificaten Symantec straffen. Wat zijn de gevolgen?

In maart 2017 kondigde Google aan het vertrouwen verloren te hebben in de SSL-certificaten van Symantec. Certificaten van dat bedrijf zouden onveilig zijn en kunnen in de toekomst niet meer rekenen op ondersteuning van Google en de populaire browser Chrome.

Omdat SSL-certificaten een lange looptijd hebben, bouwt Google nu langzaam het vertrouwen in de certificaten af. Vanaf 15 maart 2018 krijgen webbezoekers zelfs een melding indien zij een website bezoeken die een certificaat van Symantec bevat. Ook Thawte, de SSL-certicaatleverancier van True, valt onder Symantec en heeft ook last van dit incident.

Wat deze maatregel inhoudt en hoe True hiermee omgaat leest u in dit artikel.

Wat merkt een websitebezoeker hier nu van?

Het belangrijkste om te melden: de HTTPS-verbinding naar websites met een SSL-certificaat van Thawte blijft veilig. Een websitebezoeker merkt nu ook nog niets van de maatregel.

Ontwikkelaars kunnen al wel de eerste symptomen zien. Zo kun je sinds Google Chrome versie 62 in de Developer Tools zien of de website gebruikmaakt van een certificaat dat in de toekomst niet meer wordt ondersteund.

ssl-certificaat-voorbeeld

Op 15 maart 2018 komt Google Chrome versie 66 uit. Vanaf die versie krijgen ook websitebezoekers een melding dat de leverancier van het certificaat niet meer vertrouwd wordt.

Ook Extended Validation (EV)-certificaten, waarbij niet alleen de domeinnaam maar ook nog de organisatie achter de domeinnaam geverifieerd wordt, worden in Chrome 66 niet meer als EV-certificaat getoond. Dit geldt voor certificaten die zijn aangevraagd voor 1 juni 2016.

Certificaten die na 1 juni 2016 zijn uitgegeven, zullen vanaf 13 september 2018 de melding krijgen niet langer veilig te zijn. Deze melding wordt geïntroduceerd met de komst van Google Chrome versie 70.

 

Hoe werkt het ontbreken van vertrouwen?

SSL-certificaten bevatten een sleutel waarmee de verbinding tussen een bezoeker en de website wordt beveiligd. Om vast te stellen dat deze sleutel de juiste is, wordt het certificaat getekend door een “root-certificaat”. Dit is een certificaat van de uitgever, zoals Symantec.

Er is een beperkt aantal root-certificaten in omloop en alle browsers hebben een lokale kopie van dat root-certificaat. Zij controleren of het SSL-certificaat is getekend met het juiste root-certificaat.

Google Chrome vertrouwt het root-certificaat van Symantec niet langer. Certificaten uitgegeven met een ander root-certificaat ondervinden geen hinder.

 

Waarom vertrouwt Google Symantec niet?

Google heeft na onderzoek vastgesteld dat Symantec de procedures voor het uitgeven van certificaten niet goed heeft gevolgd. Uit het Google-onderzoek is gebleken dat bij meer dan 30.000 certificaten de verificatie-procedure bij uitgifte niet juist is toegepast.

Verificatie is nodig om vast te stellen dat de aanvrager van een certificaat eigenaar is van de betreffende domeinnaam, of bij Extended Validation (EV) dat een bedrijf eigenaar is van de domeinnaam.

Symantec draagt uiterlijk per 1 december 2017 de uitgifte van SSL-certificaten over naar Digicert. Certificaten uitgegeven door Symantec zelf na 1 december 2017 zullen dan ook niet langer door Google Chrome worden vertrouwd.

 

Welke oplossingen biedt True?

True levert certificaten met een maximale levensduur van één jaar. Daarom verwacht True dat per 13 september 2018 gebruikers een melding zullen ontvangen.

Certificaten uitgegeven voor 13 september 2017 zullen voor 13 september 2018 worden verlengd. Zij worden dan voorzien van een nieuw en vertrouwd root-certificaat.

Certificaten uitgegeven tussen 13 september 2017 en 1 december 2017 worden uitgegeven met het huidige certificaat. True onderzoekt samen met de leverancier een oplossing om op 13 september 2018 een onterechte melding te voorkomen.

Certificaten uitgegeven na 1 december 2017 worden voorzien van een nieuw en vertrouwd root-certificaat.

Om ook de melding in de Developer Tools af te vangen is het mogelijk een certificaat van een andere leverancier in te stellen. Denk hierbij bijvoorbeeld aan een gratis certificaat van Let’s Encrypt. Onze engineers helpen u hier graag mee.

Vragen over uw SSL-certificaat? Onze engineers kunnen u er alles over vertellen. Vraag een ticket aan in TrueCare of neem contact op met onze helpdesk. 

E-book: Security & compliance voor digitale organisaties

Wereldwijd nemen digitale aanvallen in rap tempo toe en de nieuwe privacywet staat voor de deur. In dit e-book lees en leer je:

  • praktische tips voor betere websecurity;
  • wat de privacywet betekent voor webbouwers;
  • wat je van een hostingprovider mag verwachten.
Compliance en Security voor digitale organisaties - E-Book
Maarten van Bokhorst
Senior Linux Engineer bij True
Category: Security