+45 77 34 56 78

Symantec vs Google

Undgå certifikatfejl i Google Chrome og Mozilla Firefox – Den lange udgave

Introduktion


Dette er vores forsøg på at koge et langt forløb ned til en side.

Klik her for den korte udgave, der kun beskriver hvad der påvirkes og hvad du skal gøre.

For at få det "fulde" billede, kræver det mange timers læsning af de fora hvor kommunikationen har stået på hos Google og Mozilla.
Vi kan se at både Google, Mozilla og Symantec har lavet fejl.

Vi har fulgt udviklingen af denne sag tæt siden marts 2017, hvor vi første gang hørte om den.
Vi har både holdt øje med fora, samt kommunikeret direkte med Symantec.

Vi har selvfølgelig løbende sikret at ingen kunder ville blive påvirket og at de vil have mindst 2 måneder til at fx genudstede certifikater, før de bliver påvirket. 
Når vi nævner Symantec, gælder det også deres andre CA'er GeoTrust, Thawte og RapidSSL.

Reglerne har prioritet over kunder


I følge Google og Mozilla har Symantec som CA, haft for mange fejl og udvist en tendens til at bryde regler, hvor Symantec siger de ikke vil skade deres kunder.

Symantec har overtaget et komplekst miljø som egentlig har været 4 selvstændige systemer, da de opkøbte VeriSign CA'en den 19. maj 2010.
VeriSign gjorde en forretning ud af at være de største og opkøbte nærmeste konkurrenter GeoTrust, Thawte og RapidSSL.
Symantec har ikke siden deres opkøb af VeriSign lavet nogen større omstruktureringer eller ændringer i deres CA forretning.
De har derfor blot fortsat med de mange systemer og forskellige aftaler for godkendere og virksomheder med specialftaler.

Vi kan se at alle større certifikatudstedere laver fejl fra tid til anden og det virker som om at desto flere certifikater der udstedes, desto større risiko for en fejl.
Der er opsat faste regler fra både rodcertifikat ejerene (fx Microsoft og Google) og CAB forum som er det fælles nævn for certifikatindustriens parter (fx Symantec, GlobalSign, Microsoft, Google) der udstikker fælles regler for branchen.

Der er en process til indrapportering af et brud på reglerne fra en CA.
CA'en skal kort fortalt hurtigst muligt undersøge brudets omfang, finde en løsning og dokumentere både fejlen og løsningen der skal forhindre gentagelser.
Der hvor et certifikat er, eller mistænkes være, udstedt på baggrund af manglende eller forkert information, skal certifikatet trækkes tilbage, dvs. annulleres via CRL lister og OCSP.
Det forventes altså at der sker fejl og det er primært måden der reageres på dem og at de ikke sætter sikkerheden på spil, der betyder noget.

Symantecs svar ligner oftest noget der har været igennem en advokat mølle, 4 forskellige tekniske afdelinger og en økonomisk ansvarlig der skal sikre de ikke mister penge på svaret.
Der kommer altså ikke nogle hurtige direkte fra hoften svar, fra teknikeren der behandler problemet.

Den fejl som udløser mistilliden fra Google, er at Symantec har et Registration Authority program, der tillader 5 andre firmaer at udføre den fulde validering af certifikater. Fx. firmaet CrossCert i Korea.
Det opdages så at CrossCert har udstedt totalt 127 test certifikater, fra "Live" miljøet til domæner de ikke kontrollerer, hvilket er et brud på reglerne, test eller ej.

Certifikaterne udstedes til domænerne: example.com, test.com, test1.com, test2.com, test3... osv.
Der er ikke nogen tvivl om at det er test certifikater, eller at certifikaterne er til domæner der ikke anvendes eller kan misbruges og de er heller ikke set i "the wild".

Google mener at Symantec skal tilbagekalde samtlige certifikater som CrossCert har lavet godkendelsen på, hvilket er omkring 30-40.000 aktive certifikater.
Symantec vælger kun at tilbagekalde de 127 certifikater og i stedet gennemfører de selv en ny fuld validering på samtlige 30-40.000 certifikater igen.
Da de mener det har en mindre påvirkning af de kunder der har købt certifikater igennem CrossCerts godkendelse.

Opmærksomheden gør også at man opdager at RA programmet ikke køres korrekt og Symantec vælger derfor at lukke programmet og fjerner alle RA'er de har tilbage.

Du kan finde den samlede liste over alle problemer for Symantec CA'en her.

Google Chromes reaktion på problemet


Tydeligvis er Symantec's reaktion ikke tilstrækkelig for Google Chrome holdet.

Under pausen til et CAB forum møde (dem der laver fælles regler for alle CA'er og browsere), publicerer Ryan Sleevi fra Google Chrome holdet der selv er til mødet, en forum post på Google Chromes udviklingsforum, hvor han fremlægger forslag til gradvis mistillid til Symantec.
Forslaget er meget aggresivt og der hvor det bliver lidt grimt fra Google's side, er at udover at afvise alle nuværende Symantec certifikater, så millioner af certifikater pludselig bliver ugyldige.
Så skal Symantec som de eneste fremover overholde urimelige begrænsninger for levetid og EV status, som Google tidligere uden held har forsøgt at få alle CA'er til.

Det første forslags indhold (se forslaget her) er primært:
  • En reducering af alle Symantec certifikaters levetid til maksimalt 9 måneder.

  • En gradvis afvisning af alle eksisterende certifikater, så de skal genudstedes/erstattes.

  • Fjernelse af EV status fra alle certifikater, dvs. visningen af firmaet certifikatet er udstedt til og grøn addressebar.

Vi er enige med Google i at Symantec bliver nødt til at prioritere reglerne højere end kunderne, samt at de bør rydde op i deres miljøer, så de ikke er så komplekse at en person ikke kan overskue helheden.
Det vil både være godt for Symantec generelt, og for kunderne der køber deres produkter.

Vi får dog opfattelsen af at Google Chrome, prøver at skubbe deres egen agenda på Symantec via en alternativ vej.
De skriver tilmed på et tidspunkt at det vil være eksemplet for andre CA'er at følge, for fremtidens regler (de er altså sikre på at de nok skal få deres ret aggressive krav igennem senere).

Google Chrome har tidligere forsøgt at ændre den højeste levetid af certifikater til kun 1 år, deres afstemning blev stærkt afvist.
De fik efterfølgende gennemført en middelvej, der nedsætter nuværende 3 år til 2 år, fra den 1. marts 2018.
Samtidigt siger de at de gerne ønsker at alle certifikater kun kan vare nogle måneder og automatisk skal fornyes og installeres.
Noget der sikkert fungerer let for deres egne fuldt automatiserede miljøer og som en CA selv.

De har også udmeldt et ønske om at fjerne EV status for alle certifikater, da de ikke mener at det er mere sikkert at der står hvilken virksomhed man kommunikerer med.
Certifikatet bidrager kun med kryptering. Noget vi ihvertfald er stærkt uenige med, vi mener helt klart at det at man kan se at det er SKAT's hjemmeside gør en forskel.
Samtidigt har de flyttet muligheden for at se indholdet i et certifikat, fra at klikke på hængelåsen, til at man skal ind i udviklerværktøjer og sikkerhedsfanen.

Symantec prøver selvfølgelig at forhandle en løsning frem, der ikke så drastisk rammer både nuværende og nye certifikater.
Forhandlingen varer lidt over 4 måneder, hvor Symantec prøver at foreslå alternative løsninger, der giver det resultat Google og Mozilla er ude efter, men uden at så mange kunder skal påvirkes så kraftigt.

Der bliver udarbejdet et forslag om at Symantec kan flytte sin certifikatvirksomhed ind i en anden eksisterende CA.
Det bliver senere kendt at den anden virksomhed er DigiCert, der køber hele Symantec's websikkerhedsafdeling og gør den til den del af DigiCert. (Symantec får dog aktier i DigiCert)
Kravet er at fra den 1. december 2017, skal alt validering og udstedelse af SSL certifikater, ske fra den nye CA DigiCert.
Det kræver at der opsættes nye streamlinede systemer og at de mange gamle Symantec systemer lukkes ned. DigiCert når det og den 1. december 2017, udsteder de alle certifikater fra Symantec produkterne.

Løsningen


De vigtigste punkter fra det nye forslag (vis):
DatoHandling
1. december 2017Symantec skal udstede nye certifikater fra den nye infrastruktur
ca. 15. marts 2018Chrome version 66 udgives i Beta kanalen. I denne version fjernes tilid til Symantec SSL certifikater udstedt før 1. juni 2016
ca. 17 april 2018Chrome version 66 udgives i Stable kanelen.
ca. 13. september 2018Chrome version 70 udgives i Beta kanalen. I denne version fjernes tilid til Symantec SSL certifikater udstedt fra gammel infrastruktur (før 1. december 2017)
ca 23. oktober 2018Chrome version 70 udgives i Stable kanalen

Datoerne er cirka datoer, udgivelsesdatoer kan variere.

Vores anbefaling


Hvis du har et SSL certifikat udstedt før 1. december 2017 fra en af følgende brands:
  • Symantec
  • GeoTrust
  • Thawte
  • RapidSSL
Vil browsere fra Mozilla Firefox og Google Chrome, vise certifikatfejl. 
Ingen andre certifikatleverandører (fx GlobalSign, AlphaSSL, Comodo) eller certifikat typer (fx CodeSign eller EmailSign) er påvirket. Og det påvirker kun der hvor en browser klient fra Google eller Mozilla forbinder til en server, dvs. er ikke relevant for server til server kommunikation.

Tjek i følgende tabel for vores anbefalede fremgangsmåde, for at undgå browserfejl og minimere spildtid:

UdstedtUdløbsdatoAnbefaling
Før 1. jun 2016Før 1. jun 2018Forny som normalt i januar-februar 2018
Før 1. jun 2016Efter 1. jun 2018Genudsted gratis eller forlæng i januar-februar 2018
Efter 1. jun 2016Før 1. dec 2018Forny som normalt i januar-august 2018
Efter 1. jun 2016Efter 1. dec 2018Genudsted gratis eller forlæng i 2018, senest 1. september 2018

Vælger du at genudstede et certifikat købt hos os, er det selvfølgelig som altid gratis. Derudover tilbyder vi gratis CSR service og hvis det var i den originale ordre også gratis installation.

Har du mange certifikater, ønsker at skifte til et andet produkt/leverandør, er i tvivl om hvad der er bedst for jer, eller i det hele taget bare stadig har spørgsmål om det her, så endelig skriv eller ring. Vi hjælper gerne.

Det med småt. Vi har indregnet en buffer på mere end en måned i forhold til foreløbige udgivelsesdatoer for stable versioner af Google Chrome, så beta udgaver bør heller ikke påvirke. Vi kan dog ikke garantere hvornår forskellige browser versioner udgives. Vi anbefaler derfor at udføre ændringer tidligere end senere hvis muligt, dog ikke tidligere end at Symantec’s nye platform er gået live, forventet i december 2017, da det ellers vil betyde det skal udføres igen i 2018.

Vi opdaterer denne side løbende, hvis der kommer nye informationer eller mere præcise datoer. 
Senest opdateret 4. januar 2018.


Tilbage