Symantec Heruitgifte

Door meerdere incidenten met de uitgifte van Symantec certificaten in de afgelopen jaren hebben Google en Mozilla het vertrouwen in de certificaatuitgifte van Symantec verloren. Inmiddels is er overeenstemming over een oplossing: De SSL divisie wordt overgenomen door DigiCert waardoor Symantec certificaten vertrouwd zullen blijven in Google Chrome en Mozilla Firefox. Vanaf 1 december 2017 kun je de certificaten van Symantec, GeoTrust en Thawte gratis heruitgeven zodat ze vertrouwd blijven in deze browsers.

Impact op certificaten in Google Chrome

Op 11 september 2017 heeft Google haar definitieve plan gepubliceerd voor het staken van de ondersteuning van Symantec certificaten. Chrome is wereldwijd de meest gebruikte browser, en de verwachting is dat naast Mozilla Firefox ook andere browsers dit beleid zullen overnemen.

Symantec, GeoTrust en Thawte certificaten uitgegeven onder de oude VeriSign root worden, afhankelijk van de uitgifitedatum, op termijn niet meer vertrouwd in Google Chrome. Er is dus geen impact voor certificaten van Comodo of GlobalSign. Certificaten van Symantec, GeoTrust en Thawte hebben een kosteloze heruitgifte nodig om vertrouwd te blijven in de browsers:

  • Certificaten uitgegeven voor 1 juni 2016 worden vanaf Chrome versie 66, per 15 maart 2018, niet meer vertrouwd. Deze certificaten hebben tussen 1 december 2017 en 15 maart 2018 een heruitgifte nodig.
  • Certificaten uitgegeven tussen 1 juni 2016 en 1 december 2017 worden vanaf Chrome versie 70, per 13 september 2018, niet meer vertrouwd. Deze certificaten hebben tussen 1 december 2017 en 13 september 2018 een heruitgifte nodig.

Tijdlijn Chrome

DigiCert gaat (waarschijnlijk) vanaf 1 december 2017 Symantec certificaten uitgeven. Symantec certificaten die vanaf dit tijdstip via de nieuwe infrastructuur van DigiCert worden uitgegeven, zullen door toekomstige Chrome versies weer volledig ondersteund worden.

Impact op certificaten in Mozilla Firefox

Omdat Firefox op een iets later tijdstip de ondersteuning staakt, houden we de tijdlijn van Chrome aan als leidend. De tijdlijn die Mozilla heeft aangekondigd is als volgt:

  • Vanaf januari 2018 (Firefox versie 58) geeft de Developer sectie een waarschuwing bij Symantec certificaten uitgegeven voor 1 juni 2016.
  • Vanaf mei 2018 (Firefox versie 60) tonen websites een niet vertrouwde verbinding bij een Symantec certificaat uitgegeven voor 1 juni 2016.
  • Vanaf oktober 2018 (Firefox versie 63) worden alle Symantec certificaten uitgegeven uit de oude PKI infrastructuur (voor 1 december 2017) niet meer vertrouwd.

Omruilprocedure

Vanaf 1 december 2017 kun je starten met het heruitgeven van certificaten:

  • In het Control Panel vind je vanaf begin december de om te ruilen certificaten terug op het Dashboard. Hierbij wordt direct de uiterste heruitgiftedatum getoond. Daarnaast sturen we je alle informatie per e-mail, als je certificaten hebt die een heruitgifte nodig hebben.
  • Kies bij ieder te vervangen certificaat voor de optie Heruitgeven in het Control Panel. Het is aan te raden hier een nieuwe CSR voor aan te maken. Een alternatief is het hergebruiken van de oude CSR, deze vind je terug in het Control Panel.

Validatie

Voor sommige certificaten zal er nieuwe validatie nodig zijn – wacht daarom niet tot het laatste moment met heruitgeven. Er zullen wereldwijd miljoenen certificaten omgeruild moeten worden, houdt daarom ook rekening mee met een wat langere levertijd.

  • Bij certificaten met Domein validatie zal de validatie per e-mail opnieuw gedaan worden.
  • Bij certificaten met Organisatie- en Uitgebreide Validatie worden de bedrijfsgegevens opnieuw gevalideerd, als deze controle op het moment van heruitgifte langer dan 27 maanden geleden gedaan is.

Installatie

Na de heruitgifte ontvang je een e-mail met daarin een vervangend certificaat en CA certificaten ter installatie op je webserver. De nieuwe rootcertificaten vind je dan ook terug in de Download sectie.

Voor een zo breed mogelijke browserondersteuning zijn de nieuwe rootcertificaten cross-signed door de oude Symantec root.

Issue tussen Google en Symantec

Begin 2017 is bekend geworden dat er bij Symantec meerdere certificaten onterecht zijn uitgegeven. Na onderzoek bleek dat het toezicht op partners die zelfstandig certificaten onder de root certificaten van Symantec mochten uitgeven in de afgelopen jaren onvoldoende is geweest. Deze partners hebben Symantec certificaten uitgegeven op een wijze die niet voldeed aan de hiervoor geldende eisen. Symantec heeft tekortkomingen niet tijdig gesignaleerd, heeft hier volgens Google niet adequaat genoeg op gereageerd en heeft deze problemen niet op eigen initiatief bekend gemaakt. Als reactie hierop kondigde Google aan de ondersteuning van Symantec, GeoTrust en Thawte certificaten in Google Chrome te gaan staken.

In augustus 2017 is bekend gemaakt dat de Amerikaanse certificaat autoriteit DigiCert de volledige PKI divisie over gaat nemen van Symantec. Door gebruik te maken van deze infrastructuur wordt voldaan aan de eisen van Google voor veiliger certificaatbeheer, zonder dat Symantec hiervoor haar verouderde PKI infrastructuur hoeft te vervangen.

Handige informatie

Gerelateerde artikelen

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.