Opgelet: Symantec SSL-certificaat binnenkort niet meer ondersteund door Google

Google wil kost wat kost het vertrouwen in beveiligde https-sites hoog houden. Omdat Symantec naar de mening van Google wat te los omsprong met het uitreiken van SSL-certificaten, neemt Google maatregelen. De Chrome-browser zal op termijn de certificaten van Symantec niet meer vertrouwen. Wat houdt dit concreet in?

Wat is de rol van een SSL-certificaat?

SSL certificaat groen balkje httpsOm een beveiligde verbinding te leggen met een website, dient deze website over een SSL certificaat te beschikken. Naast het gratis Let's Encrypt certificaat, dat bij elke Combell-hosting inbegrepen is, kan je ook kiezen voor een betaald certificaat, dat hogere garanties biedt en afgeleverd wordt door Certificate Authorities zoals Symantec, Comodo, Verisign, … (Lees ook: Let’s Encrypt: kiezen voor gratis of premium SSL-certificaat?)

Waarom stelt Google vraagtekens bij het SSL-certificaat van Symantec?

Symantec SSL certificatenDe procedure voor het uitgeven en beheren van certificaten wordt bepaald door regels, vastgelegd door het CA/Browser Forum waarin, zoals de naam het aangeeft, de leden zowel verkopers van browsers als certificate authorities zijn. En wanneer deze regels overtreden worden, kunnen browser en OS vendors hun vertrouwen in de betroffen certificaten opzeggen.

En dat is wat er gebeurd is: Google beschuldigt Symantec ervan dat het de veiligheidsprocedures niet in acht genomen zou hebben. Daardoor zouden er bij verschillende incidenten onterechte certificaten uitgereikt zijn. Om die reden heeft Google zijn vertrouwen opgezegd in de SSL-certificaten die rechtstreeks uitgereikt werden door Symantec of een van zijn dochterondernemingen (GeoTrust, Thawte, RapidSSL).

Geotrust Thawte RapidSSL merken SSL Symantec

Welke maatregelen heeft Google aangekondigd voor het SSL-certificaat, uitgereikt door Symantec?

De toekomstige versies van de Chrome-browser zullen het Symantec-certificaat niet meer vertrouwen, een proces dat in twee fasen verloopt:

Bij Chrome versie 66, die midden april 2018 uitkomt, zullen Symantec-certificaten ouder dan 1/6/2016 niet meer vertrouwd worden.
Bij Chrome versie 70, voorzien voor oktober 2018, zullen àlle door Symantec (en dochterbedrijven) uitgereikte certificaten niet meer vertrouwd worden.

Concreet betekent dit dat de eindgebruiker, die na de vermelde datum een website met zijn Chrome-browser bezoekt, géén https-verbinding kan maken met die website indien het certificaat afkomstig is van Symantec (of dochterbedrijven). De gebruiker krijgt een waarschuwing, waardoor zijn vertrouwen in die site een zware knauw krijgt!

Ook Firefox zou gelijkaardige maatregelen overwegen; een definitieve planning is echter nog niet gekend.

Wat moet de houder van een SSL-certificaat van Symantec doen?

Deze maatregel van Google heeft een enorme impact op het web. Volgens een Netcraft onderzoek uit 2015 zou Symantec immers verantwoordelijk zijn voor één op drie SSL-certificaten op het web.

Het is dus de bedoeling dat houders van een SSL-certificaat, uitgegeven door Symantec of dochterondernemingen, dit laten vervangen binnen de hierboven genoemde termijnen. Zij nemen hiervoor best contact op met het bedrijf waar zij het certificaat aangekocht hebben.

Tip: zodra versie 62 uitkomt van de Chrome-browser (24 oktober 2017), bezoek je best jouw websites met de Chrome browser, waarbij je het Developer Tools paneel open hebt staan. Zo zie je welke websites in Chrome 66 niet meer vertrouwd zullen worden.

Wat betekent dit voor Combell-klanten die met een SSL-certificaat werken?

Voor Combell-klanten verandert er meestal niets. Bij 98% van de klanten is immers het Comodo-certificaat geïnstalleerd, een Certificate Authority die door Combell meestal geadviseerd werd. De weinige klanten voor wie deze maatregel wél een effect zal hebben, zullen persoonlijk gecontacteerd worden door de Combell-helpdesk om de juiste oplossing te zoeken.