Google kondigt maatregelen tegen Symantec aan

24 maart 2017

Naar aanleiding van recente incidenten bij Symantec bij de uitgifte van SSL certificaten is Google van plan om maatregelen te nemen die effect hebben op de door Symantec uitgegeven certificaten. Zo willen ze in Google Chrome de EV certificaten uitgegeven door Symantec niet langer meer tonen als EV certificaat, en de geldigheidsduur van certificaten sterk beperken.

Wat is er bij Symantec gebeurd?

In de afgelopen maanden is bekend geworden dat er bij Symantec meerdere certificaten onterecht zijn uitgegeven. Na onderzoek bleek dat het toezicht op partners die zelfstandig certificaten onder de root certificaten van Symantec mochten uitgeven in de afgelopen jaren onvoldoende is geweest. Deze partners hebben Symantec certificaten uitgegeven op een wijze die niet voldeed aan de hiervoor geldende eisen. Symantec heeft tekortkomingen niet tijdig gesignaleerd, heeft hier volgens Google niet adequaat genoeg op gereageerd en heeft deze problemen niet op eigen initiatief bekend gemaakt.

Welke maatregelen wil Google nemen?

Google heeft een aantal maatregelen aangekondigd die ze willen gaan uitvoeren. Op dit moment houdt Google nog een slag om de arm, maar ze geven aan voornemens te zijn om:

• Alle Symantec EV certificaten (waaronder ook de merken Thawte en GeoTrust) niet langer meer als EV certificaat in Chrome te tonen, maar als DV (domein validatie) certificaat. De certificaten blijven wel gewoon geldig en geven geen foutmelding, maar de groene adresbalk met bedrijfsnaam zal niet meer worden getoond.
• De geldigheid van nieuwe certificaten uitgegeven door Symantec, Thawte en GeoTrust worden uiteindelijk beperkt tot een periode van 9 maanden. Certificaten met een geldigheidsperiode langer dan 9 maanden zullen niet meer vertrouwd worden.
• Met elke Chrome update wordt de maximale geldigheidsduur van reeds uitgegeven certificaten steeds verder beperkt. Google wil dat uiteindelijk alle reeds uitgegeven certificaten opnieuw worden gevalideerd.

Wat zegt Symantec hierover?

Symantec vindt de reactie van Google overdreven en heeft een blog geschreven met hun reactie op de door Google aangekondigde stappen.

Wat is de impact?

Op dit moment maakt ongeveer 30 procent van alle beveiligde websites gebruik van een SSL certificaat van Symantec. Chrome is een van de meeste gebruikte browsers, dit plan van Google zou dus een flinke impact hebben.
Het is daarnaast waarschijnlijk dat andere browsers Google zullen volgen mochten ze deze plannen realiseren, en ook soortgelijke acties zullen ondernemen. Op dit moment is het nog niet bekend wat deze acties zullen zijn.

Ik heb een certificaat van Symantec, wat nu?

Websites met de certificaten van Symantec worden op dit moment nog gewoon vertrouwd, en zullen nu nog geen foutmeldingen geven. De door Google voorgestelde oplossing is nog niet definitief, het kan zijn dat ze hun plannen nog wijzigen. Google heeft nu een oplossing aangekondigd waarbij alleen de groene adresbalk direct niet meer wordt getoond, en zal pas daarna de certificaten in verschillende fases niet meer als vertrouwd zien. Op deze manier is er voor website beheerders genoeg tijd om de certificaten te vervangen. Overigens zouden dit tijdelijke maatregelen zijn, die teruggedraaid kunnen worden zodra Symantec aantoonbaar orde op zaken heeft gesteld.

Xolphin zal op verzoek de door haar uitgegeven EV certificaten van Symantec, GeoTrust en Thawte gratis omruilen voor een EV certificaat van Comodo met dezelfde looptijd.

Update 10/04: Afgelopen woensdag heeft Ryan Sleevi kenbaar gemaakt dat ondanks dat dit niet het beleid van Google is, de directie van Google en Symantec overleg hebben gehad. Omdat nog niet alles is besproken, is er afgesproken een vervolgafspraak in te plannen. Een datum of inhoudelijke details zijn nog bekendgemaakt.

Update 27/04: Symantec heeft op 26 april een uitgebreid actieplan voorgesteld. Het voorstel bevat 11 actiepunten als alternatief voor de door Google op 23 maart aangekondigde maatregelen.

De focus ligt op hercontrole van uitgegeven certificaten, periodieke extra controles, meer transparantie en het beperken van risico’s. Een belangrijke factor die ze hierin laten meewegen zijn de belangen van Symantec’s enterprise klanten zoals overheden en financiële organisaties. Symantec vindt dat de belangen van deze organisaties onvoldoende aanwezig zijn in het standpunt van Google en de community, en dat deze partijen te veel schade zouden ondervinden van de plannen van Google.

Welke maatregelen stelt Symantec voor?

Van de 11 voorgestelde maatregelen zijn dit de belangrijkste:

• Alle door Symantec uitgegeven actieve EV certificaten worden opnieuw gecontroleerd door een externe partij. Dit moet voltooid zijn per 31 augustus 2017. Deze maatregel moet het verwijderen van de EV indicator in Chrome voorkomen.
• Alle actieve SSL certificaten die zijn gecontroleerd en uitgegeven door (voormalige) RA’s van Symantec worden gecontroleerd door een externe partij. Dit moet ook per 31 augustus gedaan zijn.
• In plaats van een jaarlijkse WebTrust audit, wat standaard is, wordt deze elk kwartaal uitgevoerd.
• Per 31 augustus 2017 worden er certificaten met een kortere looptijd van 3 maanden geïntroduceerd. Symantec erkent de voordelen van certificaten met een kortere geldigheidsduur en wil haar klanten hierin de keuze geven.
• Alle actieve certificaten met een geldigheid langer dan 9 maanden worden opnieuw gecheckt met een domein validatie.
  
• De volledige CA infrastructuur wordt opnieuw gecontroleerd door middel van een ‘third party risk assessment’, per 31 oktober 2017.
• Symantec belooft transparanter te zijn en sneller te reageren op commentaar.

Google moet nog reageren op het voorstel van Symantec.

Zodra er meer informatie beschikbaar komt werken we dit artikel direct bij. Als er duidelijkheid is over de exacte stappen die Google gaat nemen en de gevolgen hiervan, zullen we onze klanten hier actief over informeren.