Google Chrome 66 sẽ không tin tưởng vào bất kỳ chứng chỉ Symantec, GeoTrust, Thawte & RapidSSL nào được phát hành trước ngày 1 tháng 6 năm 2016
Hôm nay thứ ba, ngày 17 tháng 4, Google sẽ thúc đẩy phiên bản mới nhất Chrome 66 ổn định hơn và không tin cậy bất kỳ chứng chỉ SSL của Symantec CA (Symantec, GeoTrust, Thawte và RapidSSL) được phát hành trước ngày 1 tháng 6 năm 2016. Một khi Chrome 66 hoạt động trực tuyến và người dùng bắt đầu cập nhật trình duyệt, bất kỳ trang web nào vẫn sử dụng một trong những chứng chỉ SSL thương hiệu Symantec CA bị ảnh hưởng với cảnh báo của trình duyệt.
Nói một cách đơn giản: Nếu giấy chứng nhận SSL của Symantec CA đã được cấp trước ngày 1 tháng 6 năm 2016, và bạn không đăng ký lại nó từ nguồn gốc DigiCert, thì 60,4% người dùng internet Mỹ sẽ không thể truy cập vào trang web của bạn mà không cảnh báo.
Một lần nữa, điều này dành cho bất cứ ai sử dụng chứng chỉ Symantec, GeoTrust, Thawte hoặc RapidSSL được cấp trước ngày 1 tháng 6 năm 2016.
Tại sao Google lại không còn tin cậy Symantec?
Toàn bộ tình hình này bắt đầu trở lại vào năm 2015 khi Google liên hệ với Symantec về một số chứng chỉ SSL có khả năng không đáp ứng đủ yêu cầu. Nhưng có vẻ những điều đấy không quá ảnh hưởng. Tuy nhiên, vào năm sau, khi Google nhận ra các lỗi đến từ Symantec, nó đã trở nên phổ biến hơn do vậyGoogle có thể đưa ra lập luận rằng họ mất lòng tin vào PKI của Symantec.
Google đã lập luận rằng Symantec đã không kiểm soát chính xác một số cơ quan chức năng khu vực mà họ đã sử dụng để thực hiện xác nhận trên toàn thế giới. Điều này, cùng với những gì Google giờ đây lập luận là một mô hình của mis-issuances, đặt cơ sở cho sự không tin tưởng. Symantec cuối cùng đã đàm phán với Google và đồng ý hợp tác với Cơ quan Chứng nhận khác để tiếp tục phát hành các chứng chỉ trong khi đồng thời xây dựng lại Cơ sở hạ tầng khóa công khai. Cách tốt nhất để hoàn thành điều này, theo quan điểm của Symantec, là bán phần kinh doanh của mình cho DigiCert, người sẽ tiếp tục vận hành nó, ngoại trừ những gì mà các chứng chỉ mới đã tạo ra.
Ai đúng? Google hoặc Symantec?
Đó là một câu hỏi phức tạp. Hãy để tôi bắt đầu bằng cách nói rằng Hashed Out hoạt động với mức độ tự chủ đáng kể từ The SSL Store, nhưng đáng chú ý là The SSL Store là một đối tác ưu tú platinum với Symantec (và bây giờ với chủ sở hữu mới của nó, DigiCert). Điều đó đã được nói, Google đã đúng về những sai lầm mà Symantec đã thực hiện. Và xem xét một trong những chứng chỉ kiểm tra được phát hành sai năm 2016 là dành cho Google.com, nó có quyền bị tức giận.
Quyết định của Google là một chút khắc nghiệt. Và tôi đang tự bảo vệ mình bằng cách thêm “một chút”. Đó là một bước nhảy vọt để đi từ “bạn đã phát hành sai một số chứng chỉ kiểm tra” thành “bây giờ tôi sẽ không tin tưởng vào bất kỳ chứng chỉ SSL nào đã được phát hành từ những nguồn gốc này.” đáng chú ý là Google (và Mozilla ở một mức độ nào đó) cũng có thể cũng cố gắng tạo ra một ví dụ cho Symantec. Nhưng như chúng ta sẽ thấy vào thứ ba, điều này sẽ kết thúc là gây rối trầm trọng theo cách mà tôi nghĩ rằng ít người đã thúc đẩy điều này mong đợi.
Tuy nhiên, có rất nhiều lần để giải quyết tranh chấp giữa Symantec và Google. Không còn thời gian để phát hành lại nếu bạn đang sử dụng một chứng chỉ bị ảnh hưởng.
Google sẽ không tin tưởng vào giấy chứng nhận SSL thương hiệu của Symantec CA vào tháng 10
Chúng tôi không biết ngày chính xác – có thể vào khoảng cuối tuần 23 tháng 10 – nhưng với việc phát hành Chrome 70 thì bất kỳ chứng chỉ SSL thuộc thương hiệu của Symantec CA nào được phát hành sau ngày 1 tháng 12 năm 2017 trên PKI DigiCert sẽ không được tin cậy. Điều đó có nghĩa là nếu bạn chưa cấp lại chứng chỉ của mình, thì bạn phải đợi đến tháng 10 hoặc Google gây khó dễ giấy chứng nhận của trang web của bạn.
Rõ ràng chúng tôi sẽ tiếp tục nhắc nhở bạn cho đến thời điểm đó.
Kể từ ngày 17 tháng 4, một lần nữa, sử dụng công cụ Symantec Re-issue để đảm bảo rằng bạn sẽ không bị ảnh hưởng. Và nếu bạn là, đừng lãng phí thời gian nữa. Bạn chỉ còn lại vài giờ trước khi quá muộn.