Замена сертификатов SSL (Secure Socket Layer), пострадавших от недоверия браузеров

Популярные интернет-браузеры Google Chrome и Mozilla Firefox недавно объявили о своих планах не доверять любым SSL-сертификатам, выданным компанией Symantec до 1 декабря.^ст 2017. SSL-сертификат — это важный аспект веб-сайта, который работает с конфиденциальной личной информацией. Решения Symantec Web Security и другие PKI-решения были поглощены компанией DigiCert — это приобретение приведет к тому, что DigiCert обновит и модернизирует некоторые аспекты модели Symantec. Однако, тем временем, Chrome и Mozilla решили отменить доверие к SSL-сертификатам Symantec до тех пор, пока эти обновления не будут завершены.

Решение Chrome и Mozilla не доверять SSL-сертификатам стало результатом небольшого количества несоответствий в SSL-сертификатах, выданных ими в период с 2015 года по настоящее время. Основная критика касалась способности Symantec обеспечить надлежащий процесс аутентификации SSL-сертификатов. Дебаты между Symantec и сообществом браузеров продолжались несколько месяцев и завершились двумя основными пунктами действий, изложенными Google Chrome и позже подтвержденными Mozilla:

1. Symantec должна заключить партнерство с другим центром сертификации, чтобы запустить процессы аутентификации и выдачи SSL из новой инфраструктуры.
2. Все SSL-сертификаты, выпущенные от предыдущих корней Symantec, не будут пользоваться доверием и должны быть заменены без дополнительных затрат в соответствии с поэтапным графиком.

Вскоре после этого решения Symantec продала свой SSL-бизнес компании Digicert и 1 декабря начала выдавать полностью соответствующие требованиям SSLl-сертификаты из новой инфраструктуры ЦС.^{1 декабря} 2017.

Хотя Chrome и Mozilla, возможно, действуют в интересах безопасности своих клиентов, существует ряд браузеров, таких как Internet Explorer, Safar и Opera, которые предпочитают не отображать предупреждающие сообщения для посетителей, поскольку они не считают угрозу настолько серьезной, как утверждают Chrome и Mozilla. Независимо от серьезности угрозы безопасности, многие операторы веб-сайтов могут пострадать от этой кампании недоверия.

Chrome начнет выдавать предупреждения о безопасности 16 апреля.^{16 апреля}2018 года пользователям Chrome 66 (и более поздних версий) при попытке доступа к веб-сайтам с SSL-шифрованием Symantec. Это предупреждение появится на всех сертификатах Symantec SSL, выданных до 1 июня 2018 года.^{1-го июня}, 2016. С октября 2018 года пользователи Chrome 70 (и выше) также будут получать это сообщение на всех сайтах, содержащих SSL-сертификаты Symantec, выданные до 1 декабря 2016 года.^st, 2017. В предупреждении просто говорится, что обмен данными может быть небезопасным. Посетители могут принять предупреждение и беспрепятственно продолжить посещение сайта: функциональность сайта останется незатронутой. Нет никакого риска, что данные на вашем сайте будут скомпрометированы.

Чтобы выяснить, затронут ли SSL-сертификаты вашего сайта эти изменения, вам необходимо проверить действительность сертификата. Существует ряд онлайн-инструментов, которые могут помочь вам подтвердить действительность ваших SSL-сертификатов — просто найдите, выберите и загрузите программу для проверки действительности сертификата. В качестве альтернативы, проверка действительности через ваш собственный браузер является довольно простой. Здесь мы покажем вам, как проверить, действительны или нет ваши SSL-сертификаты в Google Chrome и Mozilla Firefox.

Чтобы проверить статус вашего SSL-сертификата в Chrome, выберите значок рядом с URL-адресом. Это может быть зеленый замок (соединение безопасно), желтый восклицательный знак (сертификат не предоставлен), значок пустой страницы (этот сайт не требует предварительной аутентификации), значок замка с желтым треугольником (сертификат предоставлен, но стандарт безопасности низкий) или красный замок (у сайта проблемы с сертификатом).  Нажмите на имеющийся значок, и появится окно с возможностью просмотра сертификата:

Перейдите на вкладку «Подробности» во втором всплывающем окне, и вы сможете найти даты срока действия сертификата сайта.

Процесс проверки действительности SSL-сертификата в Mozilla Firefox примерно такой же, как и в Chrome. Рядом с URL должен быть значок безопасности — либо зеленый замок (безопасное соединение), либо серый замок с желтым восклицательным треугольником (соединение может быть небезопасным), либо серый замок с красной линией (соединение небезопасно). При нажатии на значок безопасности откроется небольшое всплывающее окно:

Просто нажмите на стрелку рядом с информацией о подключении к веб-сайту, и откроется еще одно окно. На вкладке Общие во всплывающем окне внизу будет отображаться Период действия.

График состоит из двух этапов, которые соответствуют релизам версий Google Chrome 66 и 70:

Фаза I — Сертификаты, выданные до 1 июня^st 2016 будет недоверять Chrome 66. Вам нужно будет обновить SSL-сертификаты, выпущенные до этой даты, до 15 марта^th 2018.

Этап II — Если ваш SSL-сертификат был выпущен после 1 декабря^{1-го декабря}2017 года, то нет необходимости в его перевыпуске. Сертификаты, выданные до 1 декабря^{1-го декабря} 2017 года, будут недоверять Chrome 70. Все SSL-сертификаты, выпущенные до этой даты, необходимо заменить до 13 сентября 2017 года.^{13 сентября} 2018. В Chrome 66 вы уже можете заметить предупреждение в Chrome Developer Tools:

Если SSL-сертификат не будет заменен до выхода Chrome 70, то ваши клиенты больше не смогут получить доступ к вашему сайту:

Все затронутые SSL-сертификаты необходимо заменить с помощью операции Reissue. Это позволит получить новый сертификат для того же домена с тем же сроком действия, что и у замененного.

Symantec/DigiCert предлагают пострадавшим клиентам новый SSL-сертификат бесплатно.

Вам нужно будет создать CSR (Certificate Signing Request) для каждого из сертификатов, которые вы хотите заменить/перевыпустить. Это стандартная процедура отправки DigiCert вашего открытого ключа, информации о вашей компании и доменного имени. Отправьте запрос, и как только DigiCert проведет повторную проверку ваших доменов и организаций, вы получите новый сертификат, который сможете установить.