Google stopt ondersteuning Symantec certificaten, Symantec verkoopt SSL divisie aan DigiCert

3 augustus 2017

Eind maart werd bekend dat Google maatregelen wilde nemen tegen Symantec, wat veel gevolgen zou hebben voor de ondersteuning van Symantec SSL certificaten in Google Chrome. Er zijn daarna diverse voorstellen door beide partijen gedaan, nu heeft Google een definitief voorstel gepresenteerd voor de ondersteuning in de Chrome browser. Als reactie hierop heeft Symantec aangekondigd de volledige SSL certificaten tak te gaan verkopen aan DigiCert.

Wat is het definitieve voorstel van Google?

Google blijft bij haar eerder aangekondigde plan om SSL certificaten van Symantec, Thawte en GeoTrust stapsgewijs niet meer toe te staan in Chrome, geven ze aan in het Chromium blog. Wel is de startdatum hiervoor verschoven van 8 augustus dit jaar naar april volgend jaar om gebruikers meer tijd te geven de certificaten te vervangen:

  • Vanaf Chrome versie 66 (april 2018) worden Symantec certificaten uitgegeven voor 1 juni 2016 niet meer vertrouwd.
  • Vanaf Chrome versie 70 (gepland voor september 2018) worden alle Symantec certificaten onder de huidige PKI infrastructuur niet meer vertrouwd.

DigiCert neemt certificaten tak over van Symantec

Op 2 augustus is bekend gemaakt dat de Amerikaanse certificaat autoriteit DigiCert de volledige PKI divisie over gaat nemen van Symantec. DigiCert is een jonge CA met een moderne PKI infrastructuur, en een stuk kleiner dan Symantec met respectievelijk een marktaandeel van 2.2% en 14%. Door gebruik te gaan maken van deze infrastructuur wordt voldaan aan de eisen van Google, zonder dat Symantec hiervoor haar verouderde PKI infrastructuur hoeft te vervangen. Of het Symantec merk voor SSL certificaten zal blijven bestaan, is nu nog niet uitgesproken. Beide partijen geven wel aan dat het doel een samenwerking op lange termijn is, wat ook blijkt uit het feit dat Symantec aandelen krijgt in DigiCert en DigiCert het personeel en een deel van de kantoren overneemt van Symantec.

De planning is nu de volledige transitie in het vierde kwartaal van 2018 gereed te hebben. Zelf geven ze aan dat de primaire focus in deze transitie zo min mogelijk overlast voor Symantec klanten zal zijn.

Wat betekent dit voor Symantec gebruikers?

Er is nog geen reactie van Google op de aangekondigde verkoopplannen van Symantec, ook is er nog weinig informatie beschikbaar over de praktische uitvoering van de overgang naar DigiCert. Wel is duidelijk dat DigiCert vanaf 1 december 2017 zal fungeren als vervangende managed CA, zodat Symantec gebruikers vanaf die datum kunnen starten met het heruitgeven van Symantec certificaten. Het kan zijn dat hier nog andere managed CA's bijkomen.

Onder voorbehoud van wijzigingen door de recente ontwikkelingen betekent dit voor Symantec gebruikers:

  • Voor april 2018 moeten Symantec certificaten die uitgegeven zijn voor 1 juni 2016 vervangen worden, door het doen van een heruitgifte van hetzelfde certificaat, of over te stappen naar een ander merk certificaat.
  • Voor september 2018 moeten alle Symantec certificaten heruitgegeven worden via een vernieuwde PKI infrastructuur, bijvoorbeeld via DigiCert, of vervangen worden door een ander merk. Dit betekent dat alle Symantec certificaten die onlangs zijn uitgegeven of nog worden uitgegeven door de oude Symantec infrastructuur, vervangen moeten worden als ze in september 2018 nog geldig zijn.

Mozilla conformeert zich aan voorstel

Mozilla geeft aan dat ze voor Firefox dezelfde data als uitgangspunt zullen nemen. Exacte releasedata moeten hiervoor nog vastgesteld worden. Ze geven aan dat ze liever een eerdere datum wilden, maar dat het belang van één aanpak voor de verschillende browsers zwaarder weegt. Er is nog geen nieuws van andere browsers.

Ik heb Symantec certificaten, wat kan ik doen?

Als je Symantec certificaten hebt die zijn uitgegeven voor 1 juni 2016, sturen we je ruim voor de deadline van april 2018 een bericht met informatie over de (gratis) omruil opties. Daarnaast kun je naar verwachting vanaf 1 december 2017 starten met het heruitgeven van alle Symantec certificaten. Een alternatief hiervoor is overstappen naar een ander merk. Je kunt je certificaten nu al gratis omruilen naar vergelijkbare certificaten van Comodo. Wil je omruilen? Neem dan even contact met ons op!

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.