Det har været almindeligt kendt i større PKI-kredse, at man i øjeblikket tilbagekalder godkendelser til certifikatudstederen Symantec, og at firmaet snart vil ophøre som CA (Certificate Authority).  Min bekymring er, at mange ser ud til ikke at være fuldt forberedte på denne godkendelsesfjernelse og de konsekvenser, den har.

Scott Helme,
Information Security Consultant

Symantec

Der er en lang (meget lang) forhistorie til, hvorfor browsere ikke har tillid til Symantec, men det kan koges ned til, at firmaet har foretaget sig noget, som fik browserne til at miste tiltroen til dem: Man har udstedt certifikater, som ikke skulle have været udstedt. Du kan læse Chromes plan om at fjerne godkendelsen i Symantec-udstedte certifikater og den lange tråd i Mozillas officielle Google-gruppe, hvor alle årsagerne gennemgås.

Hvorom alting er, så ophører Symantec som CA (Certificate Authority). Trods sanktioner, som eksempelvis Googles krav om overholdelse af certifikattransparens fra Symantecs side oveni i de almindelige krav til certifikatudstedere, så ser det ud, som om der ikke er noget at gøre, og Symantec har frasolgt hele deres certifikatforretning til DigiCert og forlader markedet for certifikater.

Det er et problem for hjemmesideadministratorer, for nu skal man ud at finde en ny certifikatudsteder. Dette bliver forhåbentlig meget nemmere, nu hvor man kan skifte til TRUSTZONE, men det overordnede problem er, at hvis man bruger et eksisterende Symantec-certifikat, er man nødt til at erstatte det, og så begynder det at blive kompliceret.

Tidsfristerne

Der er to deadlines for, hvornår hjemmesiderne skal tage affære, og de afhænger af, hvornår man har fået udstedt sit Symantec SSL certifikat. Hvis certifikatet er blevet udstedt før 1. juni 2016, virker det ikke efter Chrome Beta 66 bliver frigivet på markedet 15. marts 2018, og har man andre SSL certifikater fra Symantec, virker de ikke efter Chrome Beta 70 bliver frigivet i september 2018.

I forbindelse med andre undersøgelser, jeg var faldet over på nettet, mente jeg, at jeg havde udnyttet mine crawler-data godt nok til at analysere mig frem til yderligere oplysninger.

Se Google Chromes tidsfrister

Hvem bruger stadig Symantec-certifikater

Efter at have lavet et script, som gennemgår de certifikater, som mine crawlers har samlet, kan jeg analysere dem allesammen og se, hvem der stadig bruger SSL certifikater fra Symantec, som står overfor at blive tilbagekaldt. Jeg har splittet listen op i to separate filer: De websider, der bruger certifikater, som bliver ugyldige med M70, og de der får deres certifikat tilbagekaldt i forbindelse med M66, og som er nødt til at tage deres forholdsregler med det samme. Du kan se koden på mit GitHub-repository. De to filer, der indeholder listerne over siderne, er navngivet henholdsvis m66.csv og m70.csv.

M66-tilbagekaldelsen

Jeg ser i øjeblikket 1.321 hjemmesider på Alexa Top 1 Million, som får deres nuværende certifikat tilbagetrukket i april måned. Det er et ret højt tal, og med under to måneder tilbage, håber jeg, at de er godt i gang med at udskifte deres certifikater.

M70-tilbagekaldelsen

Hvad angår M70, er antallet som forventeligt lidt større, og her har jeg 6.882 websider, hvis certifikater ikke længere virker efter udgangen af september 2018. Det er en langt mere spiselig tidsfrist, og jeg vil holde øje med tallene undervejs.

Et basalt databaseopslag

Ovenstående tal er opnået ved at analysere de indsamlede SSL certifikater og lede efter dem, der kan sammenkædes med et sortlistet Symantec rodcertifikat. En anden meget enklere måde er at kigge efter forekomsten af navnet ’Symantec’ i navnet på CA’en:

SELECT ca, count(ca) FROM `results` WHERE ca LIKE ‘%Symantec%’ GROUP BY ca ORDER BY count(ca) DESC

Så får man denne liste:

C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure Server CA – G4
3884
C = US, O = Symantec Corporation, OU = Symantec Trust Network, OU = Domain Validated SSL, CN = Symantec Basic DV SSL CA – G2
2764
C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 EV SSL CA – G3
2703
C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 ECC 256 bit SSL CA – G2
499
C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Secure Server SHA256 SSL CA
401
C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 Extended Validation SHA256 SSL CA
310
C = US, O = Symantec Corporation, OU = Symantec Trust Network, OU = Domain Validated SSL, CN = Symantec Basic DV SSL CA – G1
192
C = CN, O = “TrustAsia Technologies, Inc.”, OU = Symantec Trust Network, OU = Domain Validated SSL, CN = TrustAsia DV SSL CA – G5
186
C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 ECC 256 bit EV CA – G2
123
C = US, O = Wells Fargo, OU = Symantec Trust Network, CN = Wells Fargo Certificate Authority WS1
11
C = US, O = Oracle Corporation, OU = Symantec Trust Network, CN = Oracle SSL CA – G2
2
C = US, O = Symantec Corporation, OU = Symantec Trust Network, CN = Symantec Class 3 EV SSL CA – G2
1

Uanset hvad, så er det stadig et afsindigt stort antal certifikater udstedt af Symantec.

Tjek listen

Det er værd at kigge listerne igennem og tjekke, om din hjemmeside figurerer på en af dem, og hvis den gør, så gør noget for at få den fjernet! Da scriptet kan holdes op mod mine daglige crawlerdata, er det nemt at vedligeholde og overvåge, efterhånden som vi nærmer os deadline. Måske vil det kunne svare sig inden for de næstkommende uger at henvende sig til større organisationer offentligt, for at tjekke om de er klar over de forestående ændringer.

For at tjekke om en hjemmeside er påvirket, kan man besøge den med den seneste version af Chrome og tjekke konsollen for fejlmeddelelsen:

En anden vigtig ting at bemærke ud fra dette eksempel er, at mine scanninger kun er stødt på apex-domænerne på http og følger redirects til en completion-action, hvilket betyder, at der vil være mange flere hjemmesider, som har et SSL certifikat fra Symantec, der følgelig vil blive ramt, men som der ikke i øjeblikket omdirigeres til.

Jeg indhenter heller ikke ressourcer til siden, der stammer fra subdomæner eller tredjepartsdomæner, som er påvirket af denne godkendelsestilbagekaldelse. Konklusionen må blive, at dette kun er toppen af isbjerget, og at der er mange flere hjemmesider, som vil blive påvirket.