Несколько дней назад один из крупнейших центров сертификации
Symantec объявил о том, что
прекращает использование корневого сертификата VeriSign G1 (Class 3 Public Primary CA). Этот корневой сертификат уже устарел, но ранее Symantec использовал его для выпуска публичных TLS/SSL сертификатов и сертификатов подписи кода (в английском варианте Code Signing). В ответ на это заявление
Google сообщил, что данный корневой сертификат больше не будет поддерживаться в браузере Chrome, системе Android и других продуктах компании.
Проблема с сертификатом Symantec у Google
Проблема возникла еще в октябре, когда инженеры Google обнаружили 164 сертификата для 76 доменов и 2458 сертификатов, выданные для доменов, которые не были зарегистрированы у Symantec. Это напрямую коснулось и Google. Symantec заявил, что эти сертификаты использовались только с целью тестирования и никаким образом не подвергали пользователей риску. Тогда Google потребовал, чтобы Symantec придерживался принципов доверия в Интернете и доказал свое соответствие критериям центров сертификации, а также прошел аудит безопасности. Хотя компания Symantec заявила, что не будет использовать корневой сертификат G1 для подписи публичных сертификатов, компания планирует использовать его в других целях.
Инженер Google Раян Сливи написал в блоге по безопасности ИТ следующее: "Если этот корневой сертификат больше не соответствует Основным требованиям Форума Центров сертификации и Браузеров, Google больше не может гарантировать, что этот корневой сертификат, или любые SSL сертификаты, подписанные им, не будут использованы третьими лицами для перехвата, срыва или перенаправления к себе безопасного соединения между продуктами Google и пользователями".
Поддержка корневых сертификатов Symantec в браузерах
В свою очередь, Symantec заявил, что отмена поддержки корневого сертификата G1 не затронет клиентов компании - владельцев веб-сайтов, защищенных SSL сертификатами Symantec. В центре сертификации также уверены, что нововведение никаким образом не повлияет на пользователей, которые будут переходить на веб-сайты, защищенные SSL сертификатами Symanec, так как в последнее время компания использовала другие корневые сертификаты Verisign для подписи SSL сертификатов пользователей. Тем не менее, если SSL сертификат, установленный на сайте, все таки примыкает к цепочке отозванного корневого сертификата Verisign G1, пользователи могут получать сообщение об ошибке TLS/SSL сертификата.
Поэтому Symantec рекомендует заменить эти сертификаты на новые, которые подписаны более современными корневыми сертификатами. Symantec проводит обмен таких SSL сертификатов бесплатно. Symantec продолжит предоставление ответов CRL и OCSP для TLS/SSL и Code Signing сертификатов, подписанных отозванным корневым сертификатом и срок действия которых еще не истек.
Как проверить наличие отозванного корневого сертификата Symantec на своем сайте?
1. Нажмите на зеленый замок в адресной строке Вашего браузера перед URL-адресом вашего сайта и перейдите во вкладку "Соединение", как показано на картинке ниже:
2. Нажмите ссылку "Данные сертификата", после чего откроется окно с информацией об установленном на сервере SSL сертификате. Перейдите во вкладку Certification Path ("Путь сертификации" - который показывает цепочку от корневого сертификата к вашему личному сертификату):
3. После этого кликните по самому первому сертификату в цепочке, который называется Verisign и нажмите кнопку "View Certificate" ("Просмотреть сертификат"). Появится следующее окно:
Здесь в поле Issued by указано название корневого центра сертификации. Название корневого сертификата, который отзывается, содержало бы следующие данные: Class 3 Public Primary Certification Authority
Далее Вы можете перейти во вкладку Details ("Детали") и сравнить остальные данные вашего корневого сертификата и отзываемого сертификата Verisign G1.
Технические данные сертификата Verisign G1:
Если вы обнаружили наличие корневого сертификата Verisign G1 на своем сайте, обратитесь в напрямую в техническую поддержку Symantec с запросом о перевыпуске вашего SSL сертификата. Если вы оформили ваш
SSL сертификат Symantec у нас, мы с радостью поможем вам решить вопрос о его замене.