Chrome и Mozilla выработали план по прекращению доверия текущим SSL-сертификатам группы Symantec (бренды Symantec, GeoTrust, Thawte и RapidSSL). Поскольку УЦ Symantec выдает каждый седьмой SSL-сертификат в мире, для рынка это событие весьма значимо.

Проблемы вызвало то, что Symantec неоднократно бесконтрольно выдавала сертификаты на отдельные домены, не выполняя надлежащих проверок принадлежности домена (в том числе и для EV-сертификатов). В частности, в 2015 году мошенникам были выданы сертификаты на имена google.com, gmail.com и gstatic.com, а в марте 2017 года выяснилось, что Symantec позволяла выпускать сертификаты от своего имени сторонним организациям без должного контроля за процессом. Тогда же Google публично объявил о намерении прекратить доверие сертификатам этой группы, и Mozilla поддержала инициативу.

В августе Symantec продала свой бизнес по SSL компании DigiCert - другому крупному игроку рынка. С 1 декабря года все сертификаты под брендами бывшего Symantec будут выпускаться на базе инфраструктуры DigiCert, к которой у Google (пока) претензий нет.

Что делать, если у вас приобретен SSL-сертификат от группы Symantec?

  1. Не торопитесь. До 1 декабря не нужно делать ничего, иначе новые сертификаты будут выпущены тем же УЦ Symantec, и доверие к ним будет отозвано. Исключение - если ваш сертификат заканчивается до 1 декабря, тогда его нужно продлить в Symantec до окончания срока действия, а затем еще раз, бесплатно, уже в DigiCert в период с 1 декабря 2017 по 13 сентября 2018 года.
  2. В период с 1 декабря по 15 марта (а если сертификат был выпущен после 1 июня 2016, то до 13 сентября) бесплатно продлите сертификат. Перевыпуск делается только на оставшийся период действия сертификата.
Поделиться на VK