De Google Chrome-browser gaat websites blokkeren met een Symantec-certificaat van voor 1 juni 2016. Het gaat om certificaten van Symantec en Thawte, VeriSign, Equifax, GeoTrust en RapidSSL. Volgens Google zijn ze onveilig.
Vanaf release 66 van zijn browser Chrome weigert Google SSL/TLS-certificaten van Symantec die voor 1 juni 2016 zijn uitgegeven. Als surfers op een site terechtkomen met zo’n certificaat, krijgen ze de melding dat de leverancier ervan niet meer vertrouwd wordt. Vanaf Chrome 70 (verwacht rond eind oktober) worden ook nieuwere certificaten op de zwarte lijst gezet. Google onderzoekt de Symantec-certificaten al een tijdje en ‘is het vertrouwen in Symantec’s infrastructuur verloren’, zo schrijft het bedrijf in een blogpost.
Met SSL-certificaten kan een beveiligde verbinding gemaakt worden met websites. Ze bevatten een code waarmee die connectie wordt versleuteld. Om te garanderen dat de sleutel correct is, moet het certificaat door een zogenaamd ‘root-certificaat’ getekend worden. Daarvoor kan Symantec zorgen. Het is dus dit root-certificaat dat Google niet langer vertrouwt.
Google en Symantec leven al een tijdje op gespannen voet omdat Symantec het niet zo nauw zou nemen met de regels rond veiligheidscertificaten. Zo heeft het bedrijf in 2016 zowat 2600 certificaten uitgegeven voor websitedomeinen zonder dat de eigenaren dat wisten. Eentje daarvan is Google.com. Geëncrypteerde verbindingen met zulke sites lijken veilig, maar kunnen toch gecompromitteerd zijn door partijen die valselijk afgegeven certificaten in handen hebben.
Hoeveel sites krijgen door de Chrome-Symantec-ruzie binnenkort een rode vlag? Arkadiy Tetelman (die als security engineer bij Airbnb werkt) meldde begin februari op zijn blog dat hij de één miljoen grootste sites op het net onder de loep heeft gelegd. Daarvan zouden er 11.500 vanaf april een beveiligingswaarschuwing laten zien. Vanaf oktober zijn er dat iets meer dan 91.000. Daaronder ook grote namen als Tesla.com, iCloud.com en Blackberry.com. Die bedrijven zullen dus nieuwe certificaten moeten aankopen.
