Mart ayında Google'ın Chrome ekibi, SSL sertifikası yayınlama ile ilgili endüstri standartlarını ihlal ettiği için Symantec'e karşı harekete geçeceklerini açıkladı. Bu, Google, Symantec ve internet topluluğunun diğer üyeleri tarafından son 4 ay içinde işbirliği içinde planlandı.
Dün gece Chrome son planını açıkladı. Bu plan, Symantec SSL sertifikalarının tüm kullanıcılarını ve dolayısıyla milyarlarca internet kullanıcısının göz atma deneyimini etkileyecektir.
Bir Symantec SSL sertifikası kullanan bir web sitesini işletirseniz, Chrome'un sertifika işlemlerini nasıl yapacağını ve cezai eylemler yürürlüğe girmeden önce sertifikanızı nasıl değiştirebileceğinizi öğrenmek için lütfen bu yayını okuyun. Bu işlem, tüm Symantec müşterileri için geçerlidir ve bu yazı, sertifikanızı nereden satın aldığınıza bakılmaksızın sorunların nasıl giderileceğine ilişkin kılavuz içerir.
Bu makalenin esas olarak Symantec sertifikalarını kullanan web sitelerinin sahipleri ve yöneticileri ile ilgilendiğini unutmayın. İnternetin ve Chrome'un "günlük" kullanıcısıysanız, sonunda yapmanız gereken hiçbir şey yoktur.
Symantec sertifikalarının geçerli bir kullanıcısıysanız veya 2017'de bir tane satın almak istiyorsanız, Chrome'un değişiklikleri sizi etkileyecek ve harekete geçmenizi isteyecektir.
Şu anda Symantec SSL sertifikalarını kullanan tüm web siteleri etkilenir. Symantec'in tümü etkilenen birden çok marka çalıştığını unutmayın:
Bu CA'lardan herhangi birinden herhangi bir sertifika kullanırsanız, harekete geçmeniz gerekecektir . Ayrıca Mozilla Firefox'un da benzer işlem yapacağına dikkat çekiyor ancak şu an nihai bir plan yapmayı taahhüt etmemişlerdir.
Panik yapmayın - hiçbir değişiklik 2018 yılına kadar yürürlüğe girecek , bu yüzden hazırlık zamanı geldi.
Chrome mevcut Symantec sertifikalarına olan güvenini iki aşamada kaldıracaktır. Birinci aşama, 1 Haziran 2016'dan önce verilen sertifikaları etkileyecektir. İkinci aşama, henüz yayınlanmamış sertifikalar da dahil olmak üzere mevcut kök sertifikalarından verilen tüm Symantec sertifikalarını etkileyecektir.
Google'ın planına uymak için mevcut ücretsiz Symantec'ten sertifikaları ücretsiz yeniden gönderme ve yeniden yükleme işlemi ile değiştirmeniz gerekecek. Sertifikalarınızın ne zaman sona ereceğine bağlı olarak, bunu en az kesinti ile yapabilirsiniz.
Not: Müşterilerimize, ihtiyaç duydukları eylemleri bildiren e-posta güncellemeleri alıyor olacaklardır. Bundan etkilenip etkilenmediğinizden veya hangi sertifikaların etkileneceğinden emin değilseniz, bu bilgiler bu e-postalarda belirlenecektir. Sertifikanızı başka bir sağlayıcıdan satın aldıysanız, sertifikalarınızın etkilenip etkilenmediğini görmek için onlarla birlikte kontrol edin.
Standartlar ihlallerinin bir sonucu olarak, Google Chrome, SSL ürünlerinin güven "kökü" olarak hareket eden Symantec'in geçerli kök sertifikalarının Chrome tarafından güvensiz olması gerektiğini belirtti.
Sonuç olarak, tüm Symantec SSL sertifikaları artık Chrome tarafından güvenilmeyecek ve HTTPS için kullanıldığında hatalar alacaktır. Bu, Symantec sertifikalarının çoğunun, güvenilir kalmaları için yeni kök sertifikalardan yeniden gönderilmesini gerektirir.
Bu aşırı gibi gözükse de, bu, Chrome'un bu değişiklikleri "çatlaklardan kayma" konusunda endişelenmeden teknik olarak gerçekleştirmesini sağlar. Tarayıcılarımızın sertifikaları, sertifikaları köklerine dayalı olarak işlemek çok kolaydır. Symantec, mevcut kök sertifikalarına karşı tamamen güvenmeyerek, olası tüm güvenlik risklerinin ortadan kaldırılmasını sağlayacaktır.
Güvensizlik, Nisan 2018'de başlayacak ve ikinci olarak Ekim 2018'de olmak üzere iki aşamalı olarak gerçekleşecektir (bu bölümdeki değişikliklerin detaylarını ele alacağız).
Ancak, (daha önceki güvensizliklerin aksine) Symantec, farklı teknik altyapı kullanarak sürekli olarak güvenilir sertifikalar yayınlayabilecektir.
Bunu özetlemenin en iyi yolu, Symantec'in mevcut enkarnasyonunun azalması ve artık Chrome tarafından güvenilmeyeceği. Fakat bir anka kuşu gibi Symantec tekrar doğar (ateşten daha az ve yanan ve kül olsa da) yeniden doğar.
İlk önce, bu yılın Aralık ayından itibaren kendi adlarına sertifika verecek olan başka bir Sertifika Otoritesi (CA) ile ortak çalışacaklar. Symantec tarayıcılara kendi kök sertifikalarını gönderirken bu ortak sertifika vermeye devam edecektir.
Bu, Symantec'in açıkladığı değişikliklerin tamamı boyunca kesintisiz olarak güvenilir sertifikaları sürekli olarak yayınlamasına olanak tanıyacak.
Uzun vadeli plan, Symantec'in yeni köklerini, tek başına sertifikalar vermeye ve CA ortaklığını sona erdirecek cihazlara yaygın biçimde dağıtacağını görecektir.
Bir sonraki bölüm zaman çizelgesini özetlemektedir.
Chrome'un mevcut Symantec sertifikalarına güvenmemesi, Chrome sürüm 66 ve Chrome sürüm 70'in piyasaya sürülmesi ile aynı anda iki aşamalı olarak gerçekleşir.
Chrome 66 piyasaya çıktığında (Nisan 2018 ortasında bekleniyordu) 1 Haziran 2016'dan önce verilen tüm Symantec sertifikalarına artık güvenilmez. Bu, Chrome 66+ kullanıcıları sitenizle bir HTTPS bağlantısı kuramayacakları ve bir uyarı alacağı anlamına geliyor.
İkinci aşama Chrome 70'in piyasaya sürülmesi ile (Ekim 2018'in sonlarında bekleniyor) gerçekleşecek. Mevcut köklerinden çıkarılan tüm Symantec sertifikaları bu tarihe kadar güvensiz kalınacaktır.
Geçerli sertifikanızın verilmesi ve son kullanma tarihlerine bağlı olarak, bu süre boyunca güvenilir kalabilmek için Symantec sertifikanızın bir veya iki kez değiştirilmesi gerekebilir.
Bu olayların tümü sindirebilmek için, bilgileri zaman çizelgesine indirdik.
Krom'un güvensizliğin son aşamalarına giren iki aşaması, genel bilgiler ve uygulanabilir öğeler arasındaki farkı açıkça göstermek için cesur bir şekilde gösterilir.
| (Yaklaşık) Tarih | Chrome Versiyonu | Ne oluyor? | Nasıl hazırlanır? |
| 24 Ekim 2017 | 62 | Chrome 62, Geliştirici Araçları'nda, Chrome 66'daki güvensizlikten etkilenmeyecek sertifikaları belirlemenize yardımcı olacak bir ileti görüntüler. | Geliştirici Araçları paneli açıkken web sitelerinizi ziyaret edin - bu, hangi web sitelerinin Chrome 66'daki güvensizlikten etkilenebileceğini tanımlamanıza izin verir. |
| 1 Aralık 2017 | N / A | Ortak bir Sertifika Yetkilisi (CA) Symantec için sertifika vermeye başlayacak | Bir son kullanıcı olarak, ihraç sürecinde bazı küçük değişiklikler görebilirsiniz.
Teknik açıdan bakıldığında, bu tarih önemli çünkü "yeni" Symantec sertifikalarının başlangıcını işaretlemektedir.
Bu tarihten sonra verilen sertifikalar farklı köklerden verilecek ve Chrome'un güvenini kaybetmesinden etkilenmeyecektir . |
| 17 Nisan 2018 | 66 | 1 Haziran 2016 tarihinden önce verilen tüm Symantec sertifikalarına artık Chrome tarafından güvenilmez.
1 Haziran 2016'dan sonra verilen sertifikalar bu sürümde hiç etkilenmez. |
1 Haziran 2016'dan önce verilen tüm Symantec sertifikalarını bu tarihe kadar değiştirin.
Bu, sertifikanızı sağlayıcınızdan ücretsiz olarak yeniden göndererek ve yeni sertifikayı eskisinin yerine yükleyerek yapılabilir.
Sertifikanızın bu süre zarfında (Nisan-Haziran) süresi dolarsa, kısa bir zaman aralığında iki değiştirmeden kaçınmak için yeniden gönderme yerine yenilemeyi düşünebilirsiniz. |
| 28 Ekim 2018 | 70 | Mevcut altyapısıyla Symantec tarafından verilen tüm sertifikalar artık Chrome tarafından güvenilmeyecektir. | Bu yıl 1 Aralık'tan başlayarak, ortak Sertifika Otoritesi tarafından verilen yeni Sertifikalar'ı Symantec'ten alabileceksiniz.
Teknik açıdan bakıldığında, bu sertifikalar başka bir CA tarafından verilecek ve Chrome tarafından güvenerek kullanılmaya devam edecektir. |
Chrome 62'nin kararlı sürümünden başlayarak, Chrome 66'da güvensiz bir sertifika karşılaştığında Geliştirici Araçları paneline bir mesaj eklenecektir. Geliştiriciler, bu işlevselliği, web sitelerinden etkilenmeyecek sertifikaları saptamalarını sağlamak için kullanabilirler .
Yakında çıkacak özellikleri önizlemenize olanak tanıyan erken bir sürüm olan "Canary" adlı Chrome'u da indirebilirsiniz. Ocak ayında Chrome 66, Ocak ayındaki Kanarya kanalından kullanıma sunulacak ve web sitelerine, o yılın ilerleyen aylarında Chrome 66 Stable'da kullanıcılara görünecekleri gibi erişebileceksiniz.
İhtiyaç duyulan kesinti ve çabanın miktarını azaltmak için sertifikanızı değiştirme sürenizi en aza indirecek aşağıdaki eylemi öneririz:
Sertifikanız Aralık 2017'den ÖNCE sona ererse ...
Sertifikalarınızı Aralık ayından önce yenilemenizi (yeniden gönderilmek yerine) yenilemenizi öneririz . Bu, Symantec'in mevcut köklerindeki tüm sertifikalara güvensiz olacağınız ve değiştirilmesi gereken Ekim 2018 tarihine kadar tatil mevsimi boyunca güvenilir bir sertifikaya sahip olmanızı sağlayacaktır.
Sertifikanız Aralık ayından DURING sona ererse ...
Kesintiden kaçınmak için şimdi sertifika değiştirmeyi düşünmenizi öneririz. Şimdilik, Symantec ortak CA'sının 1 Aralık'ta (bir Cuma) sertifikalar vermesini umuyor. Yeniden göndermek için sabırsızlanırsanız ve oluştuktan sonra sertifikalarınızı değiştirirseniz, doğal son kullanma tarihine kadar sertifikalarınızı tekrar değiştirmeniz gerekmez.
Bununla birlikte, Symantec'in 1 Aralık tarihindeki tahminin gözden kaçırılmasını gerektiren gecikmeler yaşanabileceğini ve teknik sorunlara neden olabilecek o tarihte olağan dışı bir şekilde ihraç hacminin yüksek olabileceğini unutmayın.
Durum buysa, mevcut sertifikanızın sonuna kadar keserseniz, kesintileri tehlikeye atabilirsiniz. 'Holiday don' da bu ay boyunca sertifikaları değiştirmenizi engelleyebilir.
Symantec'in iş ortağı CA sertifika vermeye hazır olmadan önce sertifikanızı değiştirmeniz gerekiyorsa, Chrome 70'in piyasaya sürülmeden önce sertifikaları tekrar değiştirmeniz gerekir (Ekim 2018'in sonunda bekleniyor).
Sertifikanız 31 Aralık 2017'den SONRA sona ererse ...
Symantec'in ortak CA'sı sertifika vermeye başlayıncaya kadar sertifikalarınızın herhangi birini değiştirmek için beklemenizi öneririz (1 Aralık 2017'de olması bekleniyor)
Bu tarihten sonra, sertifikaları yeniden göndermeye ve gerektiğinde değiştirmeye başlayabilirsiniz. Sertifikanız, 30 Mart 2018 tarihinden önce sona ererse , sertifikanızı erken yenilemek en basit işlem yoludur.
Bu, sertifikanızı yalnızca bir kez değiştirmenize izin verir. Symantec ortak CA'sı tarafından verilen sertifikalar Chrome'un güvenini kaybetmesinden etkilenmeyecektir ve doğal olarak sona erme tarihine kadar değiştirilmesi gerekmez.
Özel Durum: Sertifikanız 1 Haziran 2016'dan önce yayınlandıysa ve 17 Nisan 2018'den sonra sona eriyor ...
Özel davaya girersin. Chrome'da güvenilir kalabilmek için 17 Nisan 2018'de beklenen Chrome 66 sürümünden önce sertifikanızın yeniden gönderilmesi ve değiştirilmesi gerekiyor.
Bununla birlikte, 1 Aralık 2017'den sonra sertifikalarınızı yeniden göndermenizi beklemelisiniz. Bu tarihte Symantec'in ortak CA'sı sertifikaları vermeye başlayacak. Bu tarihe kadar bekleyerek bir kez sertifikanızı değiştirmeniz yeterlidir.
Symantec ortak CA'sı bulunmadan yeniden gönderilirse, sertifikanız Symantec'in geçerli kök sertifikalarından birinden gelir ve Ekim 2018'den önce değiştirilmelidir.
