Beheer

Security
slot

De Chrome-klok tikt voor https-certificaten

Websitebeheerders hebben nog iets meer dan een maand om hun certificaten te controleren en eventueel te vervangen. Chrome doet bepaalde certificaten in de ban.

© Pixabay - CCO Stevebp
8 maart 2018

Websitebeheerders hebben nog iets meer dan een maand om hun certificaten te controleren en eventueel te vervangen. Chrome doet bepaalde certificaten in de ban.

Google's veelgebruikte browser zet security-certificaten van Symantec op de zwarte lijst. Dit raakt ook de bekende certificaatmerken Thawte, VeriSign, Equifax, GeoTrust en RapidSSL.

Google zet zijn plannen door om certificaten afgegeven door Symantec uit te faseren wat betreft het standaardvertrouwen door zijn Chrome-browser. Dit raakt ook de door securityleverancier Symantec overgenomen en gevoerde merken Thawte, VeriSign, Equifax, GeoTrust en RapidSSL. Met ingang van versie 66 weigert Chrome bepaalde SSL/TLS-certificaten die afkomstig zijn van de Symantec CA (certificate authority).

In april, en dan oktober

Chrome 66 komt op 17 april uit voor alle gebruikers van die Google-browsers. Een vroege testrelease (in het zogeheten canary-ontwikkelkanaal) is eind vorige maand uitgekomen en een breder beschikbare bèta komt volgende week uit. De initiële weigering van Symantec-afkomstige certificaten geldt voor beveiligingscertificaten die zijn uitgegeven vóór 1 juni 2016.

Vier versies later gaat Google alle resterende Symantec SSL/TLS-certificaten in de ban doen. Chrome 70 staat gepland om op 16 oktober dit jaar uit te komen. Google doet al geruime tijd aan automatisch updaten van zijn browser, waardoor eindgebruikers altijd ge-update zijn. De bèta van Chrome 70 komt op 13 september uit, en de alpha-release is op 20 juli.

Waarschuwing

De reden voor de ban is een hoog opgelopen conflict tussen Google en Symantec. Eerstgenoemde heeft de afgelopen jaren flinke schendingen ontdekt van de regels voor securityceritificaten. Zo bleek leverancier Symantec in 2015 zo'n 2600 certificaten te hebben uitgegeven door websitedomeinen zonder dat de eigenaren daar weet van hadden. Hieronder bevond zich ook Google.com. Versleutelde verbindingen met zulke sites zouden dan veilig lijken, maar toch gecompromitteerd kunnen zijn door derden met de valselijk afgegeven certificaten.

Google waarschuwt websitebeheerders nu dat ze hun certificaten moeten nalopen. Indien deze van Symantec - of één van diens sub-CA's - zijn, moeten ze vervangen worden. Anders lopen sites het risico dat hun bezoekers geen beveiligde verbindingen kunnen leggen en dat die eindgebruikers waarschuwingen krijgen dat de bezochte sites onbetrouwbaar zijn.

Chrome-waarschuwing

 

Lees meer over Beheer OP AG Intelligence
3
Reacties
Gerrit Doornenbal 18 maart 2018 18:43

Voor beide bovenstaande reacties is er een antwoord: LetsEncrypt.

Ted 18 maart 2018 17:10

Certificaten is betalen. Betalen, en nog eens betalen

Frans 17 maart 2018 16:15

En hoe kom je als amateur website bower aan zo'n certificaat?

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.