Начиная с 66 версии браузера Google Chrome, Google будет помечать сайты с сертификатами от Symantec, выпущенными до 1 июня 2016, как небезопасные.
Компания Google утвердила график, по которому в течение следующих 12 месяцев компаниям придется либо заменить текущие SSL от Symantec, либо рисковать пользователями, которые будут видеть предупреждения об опасности сайта в Google Chrome, самом популярном в мире браузере.
Начиная с 66 версии браузера Google Chrome, которая должна выйти в 20-х числах апреля 2018 года, Google «перестанет доверять сертификатам от Symantec, выпущенным до 1 июня 2016 года», говорится в блоге компании. «Если у вас есть сайт с сертификатом от Symantec, выпущенным до 1 июня 2016 года, до выпуска 66 версии браузера Google Chrome вам нужно будет заменить существующий сертификат на новый от любого центра сертификации, одобренного Chrome».
На протяжении года компания Google будет постепенно отказываться от поддержки любых сертификатов, привязанным к корневым сертификатам Symanteс, включая центры сертификации, которые поглотила компания Symantec: Equifax, GeoTrust и VeriSign.
График Google по отказу от поддержки сертификатов Symantec
22-28 октября 2017: Google выпустит Chrome 62, в котором добавится новая опция под опцией меню «Developer Tools», которая будет показывать сертификаты, которые попадают под санкции.
Декабрь 2017: Компания DigiCert, которая планирует выкупить бизнес Symantec за приблизительно $1 миллиард, должна подготовить новую партнерскую инфраструктуру и быть готовой выпускать сертификаты на замену тех, которые Chrome перестанет поддерживать в 2018.
15-21 апреля 2018: Все сертификаты от Symantec, выпущенные до 1 июня 2016, будут помечены как небезопасные в версии Chrome 66, которая выйдет в течение этой недели.
21-27 октября 2018: Все сертификаты, которые выпускались в связке с корневыми сертификатами Symantec до декабря 2017, не будут поддерживаться в версии Chrome 70, которая должна будет выйти на этой неделе.
Конфликт компаний Google и Symantec
Спор между компаниями Google и Symantec, который привел к таким санкциям, длился несколько лет.
Сначала в 2015, а потом и в 2017 году компания Google (а также другие разработчики браузеров, например, Mozilla) обвинила Symantec в том, что компания и ее партнеры выдавали сертификаты, не соблюдая все правила безопасности и нарушали положения, установленные форумом центров сертификации и браузеров.
Компания Google решила, что всё более частые случаи неправильного выпуска сертификатов Symantec доказывают то, что этому центру сертификации нельзя доверять выпуск SSL.
У Google получилось заставить Symantec пойти на выполнение требований. В начале августа 2017 Symantec продала свой бизнес компании DigiCert.
Компания Google смогла повлиять на ситуацию благодаря популярности браузера Google Chrome. Согласно статистике, этим браузером пользуется почти 60 % мирового населения. Если бы компания Mozilla подала подобную жалобу, создатели браузера Firefox не смогли бы заставить Symantec радикально поменять процессы внутри компании. И все потому, что Firefox пользуется всего лишь всего 12 % населения — а это лишь ⅕ от количества пользователей Chrome.
Источник: статья в издании ComputerWorld