Geschreven door: Securityteam

Na een discussie van bijna 2 maanden heeft Google eindelijk een definitief voorstel neergelegd voor de situatie omtrent Symantec. In een uitgebreide update heeft lead developer Ryan Sleevi aangegeven wat dit tweede voorstel effectief in zal gaan houden. De belangrijkste consequentie voor Symantec is de eis dat alle Symantec certificaten vanaf 8 augustus 2017 uitgegeven zullen worden via een derde, onafhankelijke CA middels een nieuwe PKI.

Deze oplossing houdt in dat de nieuwe Symantec certificaten een looptijd kunnen hebben van 39 maanden, in tegenstelling tot de 13 maanden die geëist werden in het eerdere voorstel. Deze looptijd van 13 maanden wordt nog wel aangehouden voor de reissues die tijdens de overbruggende periode worden uitgegeven door de managed PKI oplossing. Ook houdt het in dat Symantec certificaten niet gedegradeerd hoeven te worden tot DV, maar gewoon als EV uitgegeven kunnen worden. Verder eist Google ook dat Symantec hun platform moderniseert, en alleen certificaten mag uitgeven via de managed PKI-oplossing tot hun nieuwe platform is voltooid en geaccepteerd wordt door de grote trust stores.

Huidige Symantec certificaten zullen hier ook door worden geraakt, afhankelijk van de uitgiftedatum. De certificaten die zijn uitgegeven na 1 juni 2016 worden niet gedegradeerd en blijven gewoon vertrouwd, zolang ze voldoen aan de eisen van het Chrome Certificate Transparency beleid. Certificaten die zijn uitgegeven voor 1 juni 2016 zullen worden uitgefaseerd aan de hand van de notBefore datums. Voor deze certificaten wil Chrome een nieuw beleid doorvoeren dat eindklanten moet helpen te migreren naar het nieuwe platform.

Symantec
De reactie van Symantec was kort en bondig: Symantec neemt genoegen met het voorstel van Google, omdat het de impact op hun klanten zo goed mogelijk minimaliseert. Wel geeft Symantec aan dat er nog details uit te werken zijn uit het nieuwe voorstel. Ook Mozilla heeft een reactie op de situatie gegeven. Program Manager Kathleen Wilson, verantwoordelijk voor de implementatie van CA policies bij Mozilla, lijkt echter wat sceptisch en geeft ook aan dat er details in het nieuwe, uiteindelijke voorstel zitten die eerst uitgewerkt moeten worden voor het geïmplementeerd kan worden. Vooral het voorgestelde gebruik van derde partijen baart haar zorgen; ze zou liever zien dat Symantec mensen aanneemt om de validatie in-house te kunnen verzorgen.

The story so far
De situatie omtrent Symantec heeft een lange adem. Hieronder staat de aanloop beschreven in een overzichtelijke tijdlijn.

19 januari – Google start met het onderzoek naar mogelijk frauduleus uitgegeven certificaten door Symantec. Aanvankelijk vindt het team 127 certificaten die uitgegeven zijn voor websites zonder dat de eigenaar daar van op de hoogte is; later schaalt het team door nieuwe bevindingen op naar 30.000 certificaten.

23 maart – Google presenteert de bevindingen van dit onderzoek in een post op hun Chromium discussieforum. Lead developer Ryan Sleevi publiceert in hetzelfde bericht een voorstel om Symantec op de vingers te tikken. Het voorstel houdt in dat Google de geldigheid van alle Symantec certificaten terug wil schroeven naar 9 maanden, en de EV status van alle Symantec certificaten wil downgraden naar DV.

24 maart Symantec reageert op het bericht van Google met verontwaardiging. In hun reactie geven ze aan dat Google enorm overdrijft door 30.000 certificaten te bestempelen als frauduleus, en noemen het bericht van Ryan Sleevi ‘onverantwoord’.

5 april – Op verzoek van Symantec gaan de twee partijen rond de tafel zitten om tot een oplossing te komen. Tijdens deze meeting komt men echter nog niet tot een oplossing.

11 april – Symantec en Google gaan weer rond de tafel zitten om tot een oplossing te komen. Mozilla mengt zich in de discussie: de browser vindt de langzame handelingen van Symantec onacceptabel en zet een deadline op 20 april. Als er na die datum nog geen stappen zijn ondernomen door Symantec, zal Mozilla zelf een voorstel neerleggen.

26 april – Symantec presenteert hun tegenvoorstel. Dit voorstel wordt niet serieus genomen door de community en afgedaan als een poging van Symantec om hun eigen hachje te redden zonder serieuze stappen te hoeven ondernemen.

27 april – Google kaatst de bal terug met een eigen tegenvoorstel. Hierin staan de wortels van wat het uiteindelijke voorstel is geworden dat op 19 mei is gepresenteerd.

1 mei Mozilla presenteert een eigen voorstel waarin uitgebreid uit de doeken wordt gedaan in hoeverre de reactie van Symantec onvoldoende oplossingen biedt. Ook bevat het document een eigen voorstel, dat zich schaart achter het tweede voorstel van Google.

4 mei Symantec reageert op de twee voorstellen van Google en Mozilla. Hierin geven ze nog steeds aan bezorgd te zijn over de mogelijke invloed van de voorstellen op hun klanten.

8 mei – De trage voortgang van het proces en de reacties van Symantec hebben een slechte uitwerking op de online security community, zeker wanneer Rick Andrews namens Symantec het verzoek neerlegt bij de community om de discussie tussen Google en Symantec af te wachten.

11 mei Mozilla vraagt om verhelderende antwoorden op een lijst met vragen aan Symantec.

15 mei – Symantec reageert op de vragen met een uitgebreid document.

19 mei – Het definitieve tweede voorstel van Google wordt op het discussieforum van Google geplaatst. De reactie van Symantec is kort en bondig: hoewel er nog wat punten uit te werken zijn, is de CA tevreden met de potentiële impact die dit nieuwe voorstel kan hebben op klanten. Binnenkort komt de CA met een uitgebreide reactie.


Deel artikel via: