Google en Symantec naderen een oplossing

7 juni 2017

Eind maart werd bekend dat Google maatregelen wilde nemen tegen Symantec, wat veel gevolgen zou hebben voor de ondersteuning van Symantec SSL certificaten in Google Chrome. Sinds 19 mei ligt er een gezamenlijk voorstel dat zowel rekening houdt met door Google vastgestelde beveiligingsrisico's als het beperken van de gevolgen voor gebruikers van Symantec certificaten.

Sinds eind maart zijn er tussen beide partijen meerdere gesprekken geweest en zijn er voorstellen - en wedervoorstellen gedaan. De volledige discussie is terug te lezen via het Google Forum. Het vorige voorstel van Google bevatte veel beperkingen, zoals het niet meer vertrouwen van bestaande certificaten van alle Symantec merken en het weergeven van EV certificaten als domein gevalideerde certificaten - zonder bedrijfsnaam en groene adresbalk.

Wat staat er in het nieuwe voorstel?

Het nieuwe voorstel bevat maatregelen die bovenstaande verregaande gevolgen voor actieve SSL certificaten minimaliseert. Om dit te bereiken zal Symantec samen moeten werken met een andere CA die de uitgifte, en in fases ook de validatie van Symantec overneemt. Symantec kan ondertussen orde op zaken stellen zonder dat Symantec klanten en gebruikers daar hinder van ondervinden.

De hoofdpunten:

• Het voorstel is van toepassing op alle Symantec merken, inclusief GeoTrust en Thawte.
• Vanaf 8 augustus 2017 zullen Symantec certificaten uitgegeven moeten worden door een 'managed CA'. Het is nog niet bekend welke CA dit zal zijn. Vanaf 1 februari 2018 wordt naast de uitgifte, ook het volledige validatieproces door deze partner CA verzorgd.
• Om te blijven profiteren van de goede browserondersteuning van Symantec certificaten zullen de certificaten cross-signed worden door Symantec.

EV certificaten blijven groen

Door het gebruik van een managed CA krijgen Symantec certificaten geen extra restricties zoals een beperking van de looptijd of het verwijderen van de EV-indicator bij EV certificaten.

Verder geldt:

• Bestaande certificaten die zijn uitgegeven voor 1 juni 2016 moeten vervangen worden. Vanaf versie 62 van Chrome, gepland voor augustus 2017, worden deze niet meer vertrouwd.
• Bestaande certificaten uitgegeven na 1 juni 2016 blijven ondersteund en behouden hun volledige looptijd, zonder dat hier een nieuwe validatie voor nodig is.

Wat doet Symantec?

Symantec gaat haar interne PKI systemen en procedures op het gebied van certificaat uitgifte vernieuwen, en audits en rapportages hierover publiekelijk delen. Ook zullen er nieuwe rootcertificaten in gebruik worden genomen. De partner CA zal de uitgifte blijven verzorgen tot de nieuwe Symantec rootcertificaten voldoende ondersteund worden. Hoe snel deze situatie opgelost is hangt dus niet alleen af van de inspanningen van Symantec, maar ook van de snelheid van de root programma's van de browsers.

Wat gebeurt er nu?

Er wordt op korte termijn een reactie verwacht. Waarschijnlijk komen er vanuit beide partijen nog wat wijzigingen op dit voorstel, ook is er nog niets bekend over de partner CA waar Symantec de komende tijd mee gaat samenwerken.