Google Chrome gaat vanaf april Symantec-certificaten blokkeren
Google Chrome gaat vanaf volgend jaar april ssl-certificaten van Symantec blokkeren die voor 1 juni 2016 zijn uitgegeven. Aanleiding zijn verschillende incidenten met door Symantec uitgegeven ssl-certificaten. Om het vertrouwen in de certificaten van het beveiligingsbedrijf te herstellen stelde Google verschillende maatregelen voor. Symantec kwam daarop met een eigen voorstel, waarop Google weer een tegenvoorstel presenteerde.
De internetgigant heeft nu het definitieve voorstel gepresenteerd. Met de lancering van Chrome 66 volgend jaar april worden alle ssl-certificaten van Symantec van voor 1 juni 2016 niet meer vertrouwd. In het geval Chrome-gebruikers websites met dergelijke certificaten tegenkomen krijgen ze een waarschuwing van de browser. Webmasters krijgen dan ook het advies om deze door Symantec uitgegeven certificaten voor 15 maart 2018 te vervangen om problemen te voorkomen.
Met de lancering van Chrome 70, die voor oktober 2018 staat gepland, worden alle certificaten die via de oude infrastructuur van Symantec zijn uitgegeven vervangen. Symantec heeft Google laten weten dat de nieuwe infrastructuur, die aan de eisen van Google moet voldoen, vanaf 1 december dit jaar operationeel zal zijn. Het gaat om een "Managed Partner Infrastructure" die niet door Symantec wordt beheerd. Volgens Google zorgt het nu gepresenteerde voorstel voor een goede balans tussen de veiligheidsrisico's voor Chrome-gebruikers en het minimaliseren van de verstoring van het ecosysteem.
Je komt zo nogal eens een certificaatje als root op de server geinstalleerd op het spoor.
Waar er twee kijven, hebben er meestal twee schuld. Spelen tussentijdse aanpassingen van het niet publiek toegankelijke net (cloud en transportdiensten) ook wellicht niet een rol in deze zo hoog oplopende security zaak?
Kan thans verhoogde security alleen nog afgedwongen worden door de acties van een belangrijk monopolist met een browser aandeel van zo'n 60%, zoals Google Don't Be Evil en staan wij met zijn allen als onmachtige toeschouwers langs de zijlijn?
Maar voor de getroffen certificaathouders ook geen lolletje als je ineens je chrome eindgebruikers je groene slotje moeten missen en je als bedrijf moet overstappen op iets anders. Volgens Symantec zou het maar gaan om 127 test certificaten en volgens Google zelfs over iets zo verwerpelijks als certificeringsidentiteitsdiestal. We zullen er wel meer van horen.
Google gaat nu al CT invoeren en Symatec wil dat tegen het eind van het jaar pas op orde brengen (als het lukt).
Met elke nieuwe Google Chrome versie zullen dus de duimschroeven door Google bij Symantec wat betreft CT wat verder worden aangedraaid tot ze aan de Google CT voorwaarden voldoen.
Zijn hun klanten inmiddels dan al weggelopen naar andere certificaatverleners? Dat staat nog te bezien. Google weert ze in ieder geval steeds dringender uit de browser en dat is een hele GROTE browser, globaal gezien.
Met hun grote marktaandeel en vier grote ingelijfde partners is dit alles geen lichte bedreiging voor Symantec's certificeringspoot. Het kan dus serieus pijn gaan doen. Ik zou al met de witte vlag gaan zwaaien als ik Symantec?Norton was.
Test op CT (Certificate Transparency) zelf hier:.
U kunt cheken op domein of subdomein(en) hier: https://www.entrust.com/ct-search/
En dan hebben we ook nog good old Netcraft's: https://www.netcraft.com/internet-data-mining/netcraft-br-ev-and-ct-compliance-checking-for-certificate-authorities/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.