Kořenový certifikát od Symantecu je nedůvěryhodný, tvrdí Google

15. 12. 2015

Sdílet

 Autor: IDG News Service
Správci webových stránek a vývojáři, kteří pracují se některými certifikáty od Symantecu, by si měli obstarat nové.

Android OS, prohlížeč Chrome a další produkty Googlu přestanou důvěřovat certifikátům navázaným na dvacet let starý VeriSign root certificate.

Zpráva se objevila poté, co společnost Symantec odhalila plány na postupné utlumení certifikačních autorit Class 3 Public Primary Certification Authority, které získala před pěti lety.

V oznámení, které společnost ke konci podpory zveřejnila, uvádí, že kořenový certifikát důvěryhodný pro většinu prohlížečů i operačních systémů, nepoužívá už od 1. prosince a doporučuje všem majitelům digitálních certifikátů na něj navázaných, aby si obstarali nové, navázané na modernější kořenový certifikát. Všechny jsou k dispozici zdarma.

Podle Googlu Symantec nepřestane Class 3 Public Primary CA používat zcela, ovšem plánuje ho využívat pro jiné, dosud nepřiblížené účely. Výrobce oblíbeného prohlížeče však nemůže zaručit, že neveřejné certifikáty vydané pod daným rootem, nebudou zneužity k „narušení nebo ovlivnění bezpečné komunikace produktů Googlu nebo jejich uživatelů“.

„Jelikož Symantec se zdráhá blíže specifikovat nové způsoby využití těchto certifikátů a jelikož si je firma vědoma rizika, které takové jednání představuje pro uživatele produktů Google, požádala nás, abychom tento kořenový certifikát odebrali a přidali na seznam nedůvěryhodných,“ vysvětluje Ryan Sleevi, jeden z vývojářů Googlu.

Na seznam nedůvěryhodných tak společnost přidává dvě verze Class 3 Public Primary CA, jednu podepsanou postupně čím dál tím méně užívanou hašovací funkcí SHA-1, druhou podepsanou ještě starší MD2. Obě byly vydány v roce 1996 a jejich platnost by měla vypršet v roce 2028.

Podle Googlu se však Symantec nedomnívá, že by některý z jeho klientů spravujících HTTPS stránky, nebo jejich uživatelé, měli být tímto krokem ovlivněni. Ve svém vlastním upozornění přitom Symantec připouští, že uživatelé, pokoušející se navštívit webové stránky navázané na nedůvěryhodný kořenový certifikát, se v budoucnu mohou setkat s chybovými hlášeními.

To se může týkat rovněž podepsaných aplikací, jestliže i výrobci operačních systémů začnou odebírat Class 3 Public Primary CA ze seznamu důvěřovaných. Certifikáty by proto měli aktualizovat i dotčení vývojáři.

ICTS24

Už v listopadu Symantec informoval všechny velké výrobce internetových prohlížečů také o tom, ať stáhnou ze seznamu důvěryhodných certifikátů VeriSign Class 3 Public Primary CA G1 (PCA3-G1), jelikož je založen na starším, méně bezpečném systému ochrany.

Tento kořenový certifikát však už několik let nebyl ke generování nových certifikátů využíván, proto by jeho stažení nemělo pro svět veřejného internetu představovat žádné riziko. Podle mluvčího Symantecu Noaha Edwardsena jej chce společnost používat pouze interně, jako podpůrný, pro firemní klientelu.