Google Chrome en het Chromium development team hebben op 28 juli hun definitieve plannen voor de Symantec-situatie bekend gemaakt. In samenwerking met Symantec en Mozilla is er besloten dat Symantec certificaten die voor 1 juni 2016 zijn uitgegeven, vanaf versie 66 niet meer als vertrouwd worden beschouwd. Vanaf versie 70 zal vervolgens ook de volledige oude infrastructuur van Symantec daaraan worden toegevoegd.

Chrome 66 zal op 19 januari 2018 live gaan voor de alpha-testers, op 15 maart in de beta-test worden opgenomen, en vanaf 17 april 2018 live gaan voor alle gebruikers.

Ondertussen zal de Symantec infrastructuur worden aangepast om plaats te maken voor de nieuwe sub-CA of ‘Managed Partner Infrastructuur’, die volgens de afspraken met Google voortaan de certificaten van Symantec zal moeten gaan uitgeven. Symantec heeft aangegeven dat deze nieuwe infrastructuur op 1 december 2017 in gebruik zal worden genomen.

Vanaf Chrome 70, die op 13 september 2018 in beta zal gaan, zal de volledige oude Symantec infrastructuur als niet veilig worden bestempeld. Deze versie zal op 23 oktober 2018 live gaan voor alle gebruikers.

Oorspronkelijk had Chrome aangekondigd dat deze wijzigingen zo snel mogelijk zouden moeten gebeuren. Eerder werd daarom ook al gesproken over Chrome 62, die in oktober van dit jaar live gaat. Deze datum is echter verworpen om eindgebruikers de tijd te geven hun certificaten te vervangen. Versies 63, 64 en 65 zouden te dicht op december liggen, waardoor organisaties te veel in het nauw zouden kunnen komen te zitten in verband met de feestdagen.

Google Chromium geeft zelf het advies aan eindgebruikers om hun certificaat te vervangen vóór 15 maart 2018. Hoewel het geen kwaad kan om proactief te handelen, is het in dit geval echter wel verstandig om te wachten met de reissue tot na 1 december om er zeker van te zijn dat het certificaat wordt uitgegeven op de nieuwe infrastructuur van Symantec. Wilt u meer weten over het reissuen van een certificaat? Lees dan het artikel over reissuen op onze helpdesk.

Update (6 oktober 2017):

In een uitgebreide blogpost op het Google Security blog heeft Google aangegeven dat de bovenstaande plannen definitief worden uitgevoerd. Deze blogpost, gepubliceerd op 12 september, bevat ook een tijdlijn waarin de te ondernemen stappen exact worden uitgemeten.

Lees relevante artikelen

Categorie  SSL & Security | Tags  chrome google ssl symantec