Symantec Heruitgifte

Door meerdere incidenten met de uitgifte van Symantec certificaten in de afgelopen jaren hebben Google en Mozilla het vertrouwen in de certificaatuitgifte van Symantec verloren. Inmiddels is er overeenstemming over een oplossing: De SSL divisie wordt overgenomen door DigiCert waardoor Symantec certificaten vertrouwd zullen blijven in Google Chrome en Mozilla Firefox. Vanaf 1 december 2017 kun je de certificaten van Symantec, GeoTrust en Thawte gratis omruilen zodat ze vertrouwd blijven in deze browsers.

Planning

Op 11 september 2017 heeft Google haar definitieve plan gepubliceerd voor het staken van de ondersteuning van Symantec certificaten. Ook Mozilla Firefox heeft haar planning bekendgemaakt. Chrome is wereldwijd de meest gebruikte browser, daarom houden we deze tijdlijn aan als leidend.

Impact op certificaten in Google Chrome

Symantec, GeoTrust en Thawte certificaten uitgegeven onder de oude VeriSign root worden, afhankelijk van de uitgifitedatum, op termijn niet meer vertrouwd in Google Chrome. Er is dus geen impact voor certificaten van Comodo of GlobalSign. Certificaten van Symantec, GeoTrust en Thawte hebben een kosteloze heruitgifte of verlenging nodig om vertrouwd te blijven in de browsers:

  • Certificaten uitgegeven voor 1 juni 2016 worden vanaf Chrome versie 66, per 15 maart 2018, niet meer vertrouwd. Deze certificaten hebben tussen 1 december 2017 en 15 maart 2018 een vernieuwing nodig.
  • Certificaten uitgegeven tussen 1 juni 2016 en 1 december 2017 worden vanaf Chrome versie 70 niet meer vertrouwd. Versie 70 wordt vanaf 20 juli uitgerold als canary versie, vanaf 13 september als bèta en per 16 oktober als officiële release. Deze certificaten hebben dus tussen 1 december 2017 en 16 oktober 2018 een vernieuwing nodig.

Tijdlijn Chrome

DigiCert geeft vanaf 1 december 2017 Symantec certificaten uit. Symantec certificaten die vanaf dit tijdstip via de nieuwe infrastructuur van DigiCert worden uitgegeven, zullen door toekomstige Chrome versies weer volledig ondersteund worden.

Impact op certificaten in Mozilla Firefox

Begin oktober heeft Mozilla aangekondigd het staken van de ondersteuning van Symantec uit te stellen. De eerder aangekondigde deadline van Firefox versie 63, per 23 oktober 2018, is verschoven naar Firefox versie 64, die gepland is voor december.  De reden hiervoor is dat nog steeds meer dan één procent van de één miljoen populairste sites op internet gebruikmaakt van certificaten die zijn uitgegeven door Symantec. Door dit uitstel hoopt Mozilla websites meer tijd te geven om hun certificaat te vernieuwen.

De tijdlijn die Mozilla heeft aangekondigd is als volgt:

  • Vanaf januari 2018 (Firefox versie 58) geeft de Developer sectie een waarschuwing bij Symantec certificaten uitgegeven voor 1 juni 2016.
  • Vanaf mei 2018 (Firefox versie 60) tonen websites een niet vertrouwde verbinding bij een Symantec certificaat uitgegeven voor 1 juni 2016.
  • Vanaf december 2018 (Firefox versie 64) worden alle Symantec certificaten uitgegeven uit de oude PKI infrastructuur (voor 1 december 2017) niet meer vertrouwd.

Naast de browsers heeft SSLLabs aangekondigd de score in haar SSL Server Test vanaf 1 maart 2018 aan te passen naar een T-score, als een website een Symantec SSL certificaat gebruikt uitgegeven voor 1 juni 2016.

Omruilprocedure

Vanaf 1 december 2017 kun je starten met het omruilen van certificaten. Je hebt hierbij de keuze tussen het laten heruitgeven of, afhankelijk van de resterende looptijd, direct verlengen van de certificaten. Een alternatief hiervoor is overstappen naar een ander merk. Je kunt je certificaten desgewenst gratis of tegen gereduceerd tarief omruilen naar vergelijkbare certificaten van Comodo of GlobalSign. Neem hiervoor even contact met ons op.

Uitgiftedatum Omruil deadline
Certificaten uitgegeven voor 1 juni 2016 Omruilen voor 15 maart 2018
Certificaten uitgegeven na 1 juni 2016 Omruilen voor 16 oktober 2018

Invloed van beperking geldigheidsduur naar 2 jaar

Vanaf 1 maart 2018 is de maximaal toegestane looptijd voor alle merken en soorten SSL certificaten 825 dagen (ongeveer 27 maanden). Als je na deze datum een vernieuwing doet van een Symantec, Thawte of GeoTrust certificaat dat op het moment van heruitgifte langer dan deze 825 dagen geldig is, wordt de resterende looptijd beperkt tot 825 dagen.

Omruilen via een heruitgifte

  • In het Control Panel vind je vanaf begin december de om te ruilen certificaten terug op het Dashboard. Hierbij wordt direct de uiterste heruitgiftedatum getoond. Daarnaast sturen we je alle informatie per e-mail, als je certificaten hebt die een vernieuwing nodig hebben.
  • Kies bij ieder te vervangen certificaat voor de optie Heruitgeven in het Control Panel. Het is aan te raden hier een nieuwe CSR voor aan te maken. Een alternatief is het hergebruiken van de oude CSR, deze vind je terug in het Control Panel. Bij een heruitgifte wordt het oude certificaat niet ingetrokken.

Via deze procedure ontvang je hetzelfde type en merk certificaat terug met dezelfde start- en einddatum, alleen ondertekend door het nieuwe DigiCert rootcertificaat.

Let op: We attenderen je in het Control Panel op alle geldige certificaten die zijn uitgegeven voor 1 december 2017. Hier kunnen certificaten bij zijn die al verlopen vóór de genoemde omruildatum. Voor deze certificaten is in plaats van een heruitgifte een reguliere verlenging voldoende, vanaf 90 dagen voor de verloopdatum. Sommige development omgevingen gaan eerder dan de genoemde deadlines waarschuwen. Hier zullen de meeste websitebezoekers geen last van hebben, als je dit toch wilt voorkomen kun je ervoor kiezen alvast een kosteloze heruitgifte te doen. Als je certificaten hebt die verlopen voor de omruildatum, wordt dit duidelijk aangegeven bij het certificaat in het Control Panel.

Omruilen via een verlenging

Bij een heruitgifte ontvang je een nieuw certificaat met dezelfde looptijd als het oude certificaat. Om vertrouwd te blijven in Chrome kun je in plaats van deze heruitgifte ook kiezen voor een verlenging, je ontvangt dan een nieuw certificaat met een nieuwe looptijd plus de looptijd van het oude certificaat.

De verlengingstermijn voor 1-jarige Symantec, GeoTrust en Thawte certificaten is verruimd van 40 naar 210 dagen. Je kunt hierdoor eerder je certificaten verlengen, wat de omruilprocedure makkelijker en minder tijdrovend maakt. Alle Symantec certificaten uitgegeven voor 1 december 2017 die nog maximaal 210 dagen geldig zijn kun je direct verlengen voor maximaal 1 jaar. De resterende looptijd krijg je er bij, naar boven afgerond op maanden. Voorbeeld: Je verlengt een certificaat dat op het moment van verlengen nog 135 dagen geldig is. Je ontvangt dan een nieuw certificaat met een looptijd van 1 jaar en 5 maanden (de oude looptijd van 135 dagen/4,5 maand afgerond naar boven). Vanwege de looptijd beperkingen vanuit het CA/Browerforum geldt dit niet voor 2-jarige certificaten. Voor het verlengen naar een 2-jarig certificaat geldt hierdoor wel de verlengingstermijn van 40 dagen. Om te profiteren van de ruimere verlengingstermijn kun je een 2-jarig certificaat wel verlengen naar een 1-jarig certificaat

Validatie

Voor sommige certificaten zal er nieuwe validatie nodig zijn – wacht daarom niet tot het laatste moment met omruilen. Er zullen wereldwijd miljoenen certificaten omgeruild moeten worden, houdt daarom ook rekening mee met een wat langere levertijd.

  • Bij certificaten met Domein validatie zal de validatie per e-mail opnieuw gedaan worden.
  • Bij certificaten met Organisatie- en Uitgebreide Validatie worden de bedrijfsgegevens opnieuw gevalideerd, als deze controle op het moment van heruitgifte langer dan 27 maanden geleden gedaan is.

Installatie

Na de heruitgifte of verlenging ontvang je een e-mail met daarin een vervangend certificaat en CA certificaten ter installatie op je webserver. De nieuwe rootcertificaten vind je terug in de Download sectie.

Voor een zo breed mogelijke browserondersteuning zijn de nieuwe rootcertificaten cross-signed door de oude Symantec root.

Issue tussen Google en Symantec

Begin 2017 is bekend geworden dat er bij Symantec meerdere certificaten onterecht zijn uitgegeven. Na onderzoek bleek dat het toezicht op partners die zelfstandig certificaten onder de root certificaten van Symantec mochten uitgeven in de afgelopen jaren onvoldoende is geweest. Deze partners hebben Symantec certificaten uitgegeven op een wijze die niet voldeed aan de hiervoor geldende eisen. Symantec heeft tekortkomingen niet tijdig gesignaleerd, heeft hier volgens Google niet adequaat genoeg op gereageerd en heeft deze problemen niet op eigen initiatief bekend gemaakt. Als reactie hierop kondigde Google aan de ondersteuning van Symantec, GeoTrust en Thawte certificaten in Google Chrome te gaan staken.

In augustus 2017 is bekend gemaakt dat de Amerikaanse certificaat autoriteit DigiCert de volledige PKI divisie over gaat nemen van Symantec. Door gebruik te maken van deze infrastructuur wordt voldaan aan de eisen van Google voor veiliger certificaatbeheer, zonder dat Symantec hiervoor haar verouderde PKI infrastructuur hoeft te vervangen.

DigiCert en Symantec

Handige informatie

Gerelateerde artikelen

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.