Дата статьи 18.12.2015

Symantec отказывается от использования корневого сертификата VeriSign G1

Несколько дней назад один из крупнейших центров сертификации Symantec объявил о том, что прекращает использование корневого сертификата VeriSign G1 (Class 3 Public Primary CA). Этот корневой сертификат уже устарел, но ранее Symantec использовал его для выпуска публичных TLS/SSL сертификатов и сертификатов подписи кода (в английском варианте Code Signing). В ответ на это заявление Google сообщил, что данный корневой сертификат больше не будет поддерживаться в браузере Chrome, системе Android и других продуктах компании.

Проблема с сертификатом Symantec у Google

Проблема возникла еще в октябре, когда инженеры Google обнаружили 164 сертификата для 76 доменов и 2458 сертификатов, выданные для доменов, которые не были зарегистрированы у Symantec. Это напрямую коснулось и Google. Symantec заявил, что эти сертификаты использовались только с целью тестирования и никаким образом не подвергали пользователей риску. Тогда Google потребовал, чтобы Symantec придерживался принципов доверия в Интернете и доказал свое соответствие критериям центров сертификации, а также прошел аудит безопасности. Хотя компания Symantec заявила, что не будет использовать корневой сертификат G1 для подписи публичных сертификатов, компания планирует использовать его в других целях.

Инженер Google Раян Сливи написал в блоге по безопасности ИТ следующее: "Если этот корневой сертификат больше не соответствует Основным требованиям Форума Центров сертификации и Браузеров, Google больше не может гарантировать, что этот корневой сертификат, или любые SSL сертификаты, подписанные им, не будут использованы третьими лицами для перехвата, срыва или перенаправления к себе безопасного соединения между продуктами Google и пользователями".

Поддержка корневых сертификатов Symantec в браузерах

В свою очередь, Symantec заявил, что отмена поддержки корневого сертификата G1 не затронет клиентов компании - владельцев веб-сайтов, защищенных SSL сертификатами Symantec. В центре сертификации также уверены, что нововведение никаким образом не повлияет на пользователей, которые будут переходить на веб-сайты, защищенные SSL сертификатами Symanec, так как в последнее время компания использовала другие корневые сертификаты Verisign для подписи SSL сертификатов пользователей. Тем не менее, если SSL сертификат, установленный на сайте, все таки примыкает к цепочке отозванного корневого сертификата Verisign G1, пользователи могут получать сообщение об ошибке TLS/SSL сертификата.

Поэтому Symantec рекомендует заменить эти сертификаты на новые, которые подписаны более современными корневыми сертификатами. Symantec проводит обмен таких SSL сертификатов бесплатно. Symantec продолжит предоставление ответов CRL и OCSP для TLS/SSL и Code Signing сертификатов, подписанных отозванным корневым сертификатом и срок действия которых еще не истек.

Как проверить наличие отозванного корневого сертификата Symantec на своем сайте?

1. Нажмите на зеленый замок в адресной строке Вашего браузера перед URL-адресом вашего сайта и перейдите во вкладку "Соединение", как показано на картинке ниже:

Как проверить корневой SSL сертификат  

2. Нажмите ссылку "Данные сертификата", после чего откроется окно с информацией об установленном на сервере SSL сертификате. Перейдите во вкладку Certification Path ("Путь сертификации" - который показывает цепочку от корневого сертификата к вашему личному сертификату):

  Корневой сертификат Verisign  

3. После этого кликните по самому первому сертификату в цепочке, который называется Verisign и нажмите кнопку "View Certificate" ("Просмотреть сертификат"). Появится следующее окно:

Корневой сертификат Symantec

Здесь в поле Issued by указано название корневого центра сертификации. Название корневого сертификата, который отзывается, содержало бы следующие данные: Class 3 Public Primary Certification Authority Далее Вы можете перейти во вкладку Details ("Детали") и сравнить остальные данные вашего корневого сертификата и отзываемого сертификата Verisign G1.

Технические данные сертификата Verisign G1:

  
Если вы обнаружили наличие корневого сертификата Verisign G1 на своем сайте, обратитесь в напрямую в техническую поддержку Symantec с запросом о перевыпуске вашего SSL сертификата. Если вы оформили ваш SSL сертификат Symantec у нас, мы с радостью поможем вам решить вопрос о его замене.
Войти Регистрация
Корзина 0 позиций
на сумму 0 ₽
Связаться со мной
Отправить
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Оформить заказ
Заказать
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Спасибо за обращение! Мы свяжемся с Вами в ближайшие рабочие часы
Отправка не удалась
Во время отправки запроса произошла ошибка. Пожалуйста, подождите и попробуйте снова через некоторое время или позвоните на мой номер телефона
Авторизация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Забыли пароль?
\
Регистрация
Восстановление пароля
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
\
Регистрация
Ошибка авторизации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная авторизация
Через 5 секунд страница будет перезагружена и вы сможете войти в свой аккаунт
Ошибка регистрации
Пожалуйста, проверьте корректность данных.
Форма будет автоматически закрыта через 5 секунд
Успешная регистрация
Вам на почту должно прийти письмо с ссылкой на подтверждение аккаунта. Пожалуйста перейдите по ней и активируйте свой аккаунт
Ошибка регистрации
Такой пользователь уже существует. Пожалуйста, проверьте корректность данных.
Регистрация
Ошибка восстановления пароля
Пожалуйста, проверьте корректность email.
Успех
Ваш новый пароль был выслан вам на email
Регистрация
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Авторизация
Создать тикет
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Свяжитесь с нами
Отправляя форму Вы автоматически подтверждаете, что ознакомились и принимаете Политику конфиденциальности сайта
Сообщение отправлено!
Ваше сообщение получено. Наш менеджер свяжется с вами в ближайшие рабочие часы
Проверка DNS валидации
Скачать файл валидации
Для валидации домена разместите скачанный текстовый файл в указанную директорию на Вашем сервере:
Выберите подходящий вариант

К сожалению, выбранный сертификат от данного центра сертификации не может быть выдан. Так как ЦС приостановил выпуск новых/продление заказов для доменов в зоне .ru, .рф, .by, .su, .moscow и для сертификатов с OV, EV проверкой, где фигурирует компания из России.

Пожалуйста рассмотрите возможность выпуска сертификатов от AlphaSSL или Globalsign.