Google ilmoitti maaliskuussa 2017 julkisesti epäluottamuksestaan Symantecin myöntämiä SSL-sertifikaatteja kohtaan. Mitä tämä merkitsee sertifikaattien haltijoille?

Turvallinen liikenne verkkosivustoille koostuu kahdesta osasta: salatusta yhteydestä ja sertifikaatilla osoitetusta domainin ja/tai sitä hallitsevan organisaation todentamisesta.

Periaatteessa sertifikaatin voi allekirjoittaa myös itse, jolloin yhteys voi olla salattu, mutta todistusta luotettavasta domainin haltijasta ei varsinaisesti ole. Sertifikaattien ideana onkin nimenomaan todistaa verkkosivujen käyttäjälle, että sivustolla on turvallista asioida.

Sertifikaattien myöntämisessä tehtävissä tarkistuksissa on erilaisia tasoja, joista domain validation (DV) on heikoin ja extended validation (EV) on vahvin. Extended validation -sertifikaatti näkyy selaimesta riippuen osoiterivillä joko vihreänä värinä tai vihreänä lukkosymbolina, jossa osoitetaan verkkosivuston omistava organisaatio. Vahvoja sertifikaatteja käyttävät etenkin pankit ja vakuutusyhtiöt asioinnin luotettavuuden osoittamiseksi.

Symantec on ollut yksi suurimmista sertifikaattien myöntäjistä. Joidenkin arvioiden mukaan jopa kolmannes kaikista viime aikoina myönnetyistä sertifikaateista on Symantecin varmentamia. Symantec omistaa useita toimijoita, jotka käyttävät juuriauktoriteettinaan Symantecia. Näitä toimijoita ovat Thawte, RapidSSL ja Geotrust. Googlen ilmaisema epäluottamus koskee näitä kaikkia.

Aluksi Google ilmoitti poistavansa Symantecin EV-sertifikaattien luottamuksen välittömästi, ja muidenkin sertifikaattien luottamus oli tarkoitus poistua nopealla aikataululla. Heinäkuun lopulla ilmoitetun uuden aikataulun mukaan sertifikaattien haltijoilla on vielä aikaa korvata vanhat sertifikaatit uusilla luotetuilla sertifikaateilla. Sertifikaatteja voi edelleen hankkia Symantecilta, mutta selainten päivitysten myötä kaikki Symantecin sertifikaatit pitää uusia vuoden 2018 aikana.

Mitä pitää tehdä, jotta sertifikaatit pysyvät luotettuina?

Ensimmäinen tärkeä päivä on Chromen version 66 julkaisu huhtikuussa 2018. Uuden Chrome-version myötä ennen 1.6.2016 myönnettyjen Symantec-sertifikaattien luottamus poistuu Chromesta. Lokakuussa 2018 (Chromen versio 70) poistuu luottamus Symantecin sertifikaatteihin, jotka ovat myönnetty nykyisen julkisen avaimen hallintajärjestelmän (PKI infrastructure) ollessa käytössä. Symantec on ilmoittanut korvaavansa nykyisen järjestelmän uudella vuoden 2017 joulukuun alkuun mennessä.

Symantecin sertifikaatit, joiden voimassaolo jatkuu vuoden 2018 puolelle, kannattaa uusia vasta alkuvuodesta 2018, jotta uusimista ei joudu tekemään useampaan kertaan. Jos sertifikaatin voimassaolo on päättymässä ennen kuin Symantec saa uuden infrastruktuurin käyttöön, kannattaa harkita, hankkiiko sertifikaatin joltakin toiselta toimijalta. Uudesta sertifikaatista ei sertifikaatin voimassaolon aikana ei joudu maksamaan myöntäjälle, mutta sertifikaatin hakemisesta ja asentamisesta aiheutuu työtä ja kustannuksia.

Kun vierailet WWW-sivustolla, jolle on asennettu SSL-sertifikaatti, voit tarkistaa sertifikaatin tiedot Chrome-selaimessa valitsemalla hampurilaisvalikosta More tools > Developer tools ja sen jälkeen avautuvasta näkymästä Security-välilehdeltä View certificate. Mozillan Firefox-selaimessa tämä onnistuu hieman helpommin klikkaamalla osoiterivillä näkyvää lukko-ikonia ja etenemällä lisätietojen kautta sertifikaatin katsomiseen.

 

Tommi Rainio avatar