أعلنت Google عن خططها لمعاقبة شركة Symantec من خلال عدم الثقة تدريجيًا بشهادات SSL الخاصة بها بعد أن تم ضبط الشركة بشكل غير صحيح لإصدار شهادات التحقق الموسعة (EV) على مدار السنوات القليلة الماضية.
لن يتم التعرف على حالة التحقق من الصحة الموسعة (EV) لجميع الشهادات الصادرة عن سلطات التصديق المملوكة لشركة Symantec بواسطة متصفح Chrome لمدة عام على الأقل حتى تقوم Symantec بإصلاح عمليات إصدار الشهادة الخاصة بها حتى يمكن الوثوق بها مرة أخرى.
من المفترض أن توفر شهادات التحقق من الصحة الموسعة أعلى مستوى من الثقة والمصادقة ، حيث يجب على "المرجع المصدق" ، قبل إصدار الشهادة ، التحقق من الهوية القانونية لهوية الكيان الطالبة.
وقد دخلت هذه الخطوة حيز التنفيذ مباشرة بعد أن أعلن ريان ساتشي ، وهو مهندس برمجيات في فريق Google Chrome ، هذا الإعلان يوم الخميس في منتدى عبر الإنترنت .
"هذا بالإضافة إلى سلسلة من الإخفاقات بعد المجموعة السابقة من الشهادات المسيئة من سيمانتيك ، مما جعلنا لم يعد لدينا ثقة في سياسات إصدار الشهادة وممارسات سيمانتيك على مدى السنوات العديدة الماضية" ، يقول Sleevi.
أحد الأجزاء المهمة في النظام SSL هو Trust ، ولكن إذا لم تتحقق CA من الوجود القانوني والهوية القانونية بشكل قانوني قبل إصدار شهادات EV للنطاقات ، فإن مصداقية تلك الشهادات قد تتعرض للخطر.
بدأ فريق Google Chrome تحقيقاته في 19 يناير واكتشف أن سياسات إصدار الشهادة وممارساتها من السنوات القليلة الماضية غير شريفة يمكن أن تهدد سلامة نظام TLS المستخدم لمصادقة وتأمين البيانات والاتصالات عبر الإنترنت.
في إطار هذه الخطوة ، اقترح فريق Google Chrome اتباع الخطوات التالية كعقوبة:
1. سيتم إرجاع شهادات EV الصادرة عن Symantec حتى اليوم إلى أقل درجة من الأمان ، وهو ما يعني أن متصفح Chrome سيتوقف فورًا عن عرض اسم النطاق الذي تم التحقق منه. حامل الاسم في شريط العنوان لمدة سنة على الأقل.
2. للحد من مخاطر أي سوء فهم آخر ، يجب أن يكون لكل الشهادات الصادرة حديثًا فترات صلاحية لا تزيد عن تسعة أشهر (تكون فعالة من إصدار Chrome 61) موثوق بها في Google Chrome.
3- تقترح Google انعدام ثقة متزايدًا ، من خلال تقليل "الحد الأقصى لسن" شهادات Symantec تدريجًا على مدار العديد من إصدارات Chrome ، مما يتطلب إعادة إصدارها وإعادة التحقق منها.
Chrome 59 (إصدار تجريبي ، إصدار تجريبي ، ثابت): صلاحية 33 شهرًا (1023 يومًا)
Chrome 60 (Dev، Beta، Stable): 27 شهرًا (837 يومًا)Chrome 61 (Dev، Beta، Stable): 21 شهرًا الصلاحية (651 يومًا )Chrome 62 (Dev، Beta، Stable): 15 شهرًا الصلاحية (465 يومًا)Chrome 63 (Dev، Beta): 9 months validity (279 days)Chrome 63 (Stable): 15 months validity (465 days)Chrome 64 (Dev ، بيتا ، مستقر): صلاحية 9 أشهر (279 يومًا)
وهذا يعني أنه بدءًا من Chrome 64 ، المتوقع صدوره في أوائل عام 2018 ، سيثق متصفح Chrome فقط في شهادات Symantec التي تم إصدارها لمدة تسعة أشهر (279 يومًا) أو أقل.
تعتقد Google أن هذه الخطوة ستضمن أن مطوري الويب على دراية بمخاطر عدم الثقة في المستقبل في إصدار سيمانتيك ، في حالة حدوث المزيد من الأحداث غير الصحيحة ، مع منحهم أيضًا "المرونة اللازمة لمواصلة استخدام هذه الشهادات إذا لزم الأمر".
استجابة Symantec - مطالبات Google "مبالغ فيها وتضليل"
وقد ردت شركة Symantec وذكرت أن المطالبة بالتعويض عن 30،000 شهادة SSL التي أصدرتها Google والتي تم إصدارها بشكل خاطئ هي "مبالغ فيها وتضليل".
"نحن نعارض بشدة الإجراء الذي اتخذته Google لاستهداف شهادات Symantec SSL / TLS في متصفح Chrome. كان هذا الإجراء غير متوقع ، ونعتقد أن مشاركة المدونة كانت غير مسؤولة."
"في حين شهدت جميع شهادات CA الرئيسية أحداث إصدار شهادات SSL / TLS ، فقد اختارت Google هيئة شهادات Symantec في اقتراحها على الرغم من أن حدث سوء الإصدار المحدد في مشاركة مدونة Google شمل العديد من المراجع المصدقة."