SSL Symantec, RapidSSL, Thawte en GeoTrust niet meer vertrouwd door Google

SSL Symantec, RapidSSL, Thawte en GeoTrust niet meer vertrouwd door Google

On augustus 11, 2017, Posted by , In ICT Nieuws, By ,,,,,,,,, , With Reacties uitgeschakeld voor SSL Symantec, RapidSSL, Thawte en GeoTrust niet meer vertrouwd door Google

SSL Certificaten van Symantec, inclusief de door hun gevoerde merken en labels RapidSSL, Thawte en GeoTrust worden niet meer vertrouwd door Google (Chrome), zo meldt onder andere OpenProvider (aanbieder van SSL certificaten en domeinnamen) in een bericht aan haar cliënten.

Who is Affected?
If you are a current user of Symantec certificates or plan to purchase one in 2017, this could affect you.

Why it’s Important?
The Chrome browser is used by about 60% of internet users, and a website with a distrusted certificate risks losing a large portion of its audience. Anyone trying a site with such a certificate will see a “Not Secure” warning in the address bar.
(Email OpenProvider)

De reden dat Google de certificaten van Symantec niet meer wil accepteren c.q. als ‘onveilig’ markeert is gelegen in het feit dat Symantec beweerdelijk zo’n 30.000 certificaten heeft uitgegeven via eerdergenoemde andere partijen die niet aan de eisen voldoen.

Symantec heeft in strijd gehandeld met de principes die zijn verankerd in Chrome’s Root Certificate-beleid en daarmee Chrome-gebruikers aan risico’s blootgesteld, claimt Google. De toegang tot Symantecs certificaatinfrastructuur door vier partners van het bedrijf zou hebben geleid tot uitgifteproblemen en ook zou het beveiligingsbedrijf onvoldoende toezicht hebben gehouden. Daarnaast zou het bedrijf laks hebben gereageerd op bewijzen van de problemen.

In antwoord daarop gaat Google het vertrouwen in de certificaten door Chrome afbouwen. Chrome 59 beschouwt Symantec-certificaten van 33 maanden oud nog als valide, bij versie 62 is dat bijvoorbeeld nog maar 15 maanden, terwijl de laatste versie, Chrome 64, een geldigheidsperiode van 9 maanden hanteert. Van alle nieuw uitgegeven Symantec-certificaten is de maximale periode voor validiteit op 9 maanden gezet. De maatregel maakt dat veel certificaten opnieuw gevalideerd en vervangen moeten worden. (Tweakers)

Wat heeft dat voor gevolgen voor U?

Wat zijn de consequenties hiervan voor onze cliënten? Gelukkig valt dat voor de meeste cliënten wel mee. Wij gebruiken op onze servers Let’s Encrypt voor de gratis certificaten. Voor sommige eigenaren van andere certificaten (aangekochte certificaten) kan het wel consequenties hebben. Waarschijnlijk zullen gebruikers van Chrome, als u een certificaat van één van de genoemde merken c.q. handelsnamen heeft, op termijn zien dat uw certificaat niet meer vertrouwd wordt. U moet dan een nieuw certificaat installeren of van een andere leverancier een certificaat kopen.

Comments are closed.