1 декабря сертификаты группы Symantec начал выпускать удостоверяющий центр Digicert. Все купленные до этого дня SSL-сертификаты брендов Symantec, GeoTrust, Thawte и RapidSSL надо перевыпустить. Чем раньше, тем лучше. Весной 2018 года выйдет бета-версия, а осенью — стабильная версия браузера Chrome, где сайты с выпущенными до 1 декабря 2017 года сертификатами будут помечаться как небезопасные.
Google заботится о безопасности
SSL/TLS-сертификаты обеспечивают шифрованное соединение (HTTPS). Отдельные виды SSL могут также подтверждать деятельность владельца сайта. Защищенное соединение обязательно для ресурсов, собирающих какие-либо данные о пользователях. Без него Google Chrome оповещает пользователей о небезопасном соединении.
SSL-сертификаты выдают удостоверяющие центры. Правила выдачи определяются совместно с сообществом веб-браузера с открытым исходным кодом Chromium (куда входит Google, Яндекс и другие компании). Это же сообщество следит, чтобы правила соблюдались.
Google не доверяет Symantec
В марте 2017 года в Google сообщили о нарушении правил SSL-подразделением компании Symantec. Там сгенерировали ошибочные сертификаты, которые могли попасть к мошенникам. Но так как Symantec принадлежит около трети действующих сертификатов в интернете, в Google не стали разом считать их небезопасными, а придумали план постепенной утраты доверия. Его поддерживают и в Mozilla.
На фоне скандала бизнес Symantec по продаже SSL выкупила компания Digicert. Они изменили процесс выпуска, и с 1 декабря начали выдавать соответствующие требованиям сертификаты. Все SSL-сертификаты, полученные в Symantec до 1 декабря 2017 года, надо перевыпустить.
Что делать и когда
Группа Symantec включает бренды Symantec, GeoTrust, Thawte, RapidSSL. Если у вас один из этих сертификатов — его надо перевыпустить.
Время перевыпуска зависит от момента выхода версии Google Chrome, которая не будет поддерживать выданные Symantec сертификаты. Сначала блокирующее обновление выйдет для бета-версии, после — для стабильной. Бета-версией пользуется ограниченная аудитория, поэтому можно ориентироваться на стабильную.
Полный план можно посмотреть в блоге безопасности Google. Упрощенно схема выглядит так.
Если срок действия вашего SSL-сертификата заканчивается раньше выхода версии Chrome — его не надо перевыпускать. Просто приобретите новый сертификат.
Проверить, кем выдан SSL и когда заканчивается его срок действия, можно с помощью сервиса SSL Checker.
Как быстро проверить, надо что-то делать или нет
Для проверки используйте Chrome.
- Откройте свой сайт.
- Перейдите в меню Chrome — Дополнительные инструменты — Инструменты разработчика. В открывшемся окне выберите вкладку Безопасность (Security).
- Если увидите зеленую надпись “This page is secure (valid HTTPS)” — все хорошо. Если “This page is not secure” — перевыпустите сертификат.
Как перевыпустить сертификат
Перевыпуск сертификата бесплатный. Обратитесь за помощью к нам в чате на сайте или Личном кабинете, если приобретали сертификат в ISPsystem, или к своему удостоверяющему центру/реселлеру. Процедура повторяет процесс выпуска: надо подтвердить право на домен и пройти проверку центра сертификации.
Важно! После перевыпуска срок действия сертификата не меняется.
