Google Chrome wil Symantec certificaten niet langer toestaan vanaf april 2018

Google is van plan om geleidelijk TLS certificaten van Symantec niet meer toe te staan in Chrome. Chrome 66 zal certificaten die vóór 1 juni 2016 zijn uitgegeven door Symantec niet meer als veilig beschouwen. 

Chrome 66 wordt 17 april 2018 pas verwacht, dus eigenaren van een Symantec certificaat hebben nog voldoende tijd. Deze eigenaren worden door Google aangeraden om de certificaten te vervangen. Dit mag door Symantec gebeuren of door andere certificaataanbieders.

Vanaf halverwege oktober, de periode waarin Chrome 62 gelanceerd wordt, zal de browser gebruikers beginnen te waarschuwen dat de certificaten in de toekomst niet meer als veilig beschouwd zullen worden. Een jaar later, met de lancering van Chrome 70, wil de browser al deze certificaten niet langer goedkeuren. Dit betekent dat ook certificaten die verkocht zijn na 1 juni 2016 en vervangende certificaten van Symantec die zijn verkocht vóór de overstap naar het “Managed Partner Infrastructure” tegen die tijd vervangen moeten zijn, aldus Darin Fisher, Chrome VP van engineering. Doe je dit niet voordat Chrome 70 uitkomt, dan zal je site niet meer werken.

Google’s wantrouwen in Symantec

Deze beslissing is niet zomaar genomen door Google. Sinds 19 januari heeft het Google Chrome team zich beziggehouden met enkele fouten gemaakt door Symantec met betrekking tot het valideren van certificaten. Gedurende dit onderzoek wekte de uitleg van Symantec verdere argwaan waardoor er nog meer fouten naar boven kwamen. In totaal moesten er minstens 30.000 certificaten onderzocht worden die misschien niet op de juiste manier verkocht waren. Omdat het niet de eerste keer was dat Symantec haar werk niet goed deed, moesten er stappen ondernomen worden. Het is namelijk niet de bedoeling dat het vertrouwen en de beveiliging van Google Chrome gebruikers beschadigd wordt.

Vandaar de keuze om de houdbaarheidsdatum van Symantec certificaten te verlagen naar negen maanden of minder, het laten vervangen van alle certificaten en het verwijderen van Symantec van de goedgekeurde certificaataanbieders. Of Google daadwerkelijk deze plannen voortzet, is nog de vraag. Misschien als Symantec dusdanige verbetering toont, dat het bedrijf nog een kans krijgt.