Pengembang peramban Google Chrome telah
mengumumkan rencana untuk menghapus kepercayaan dan penerbitan kembali sertifikat SSL Symantec lama, pembatalan status EV, serta mengurangi validitas sertifikat masa depan menjadi β€9 bulan. Ini adalah hasil penyelidikan insiden dengan sertifikat yang dikeluarkan tanpa izin pemilik, dan praktik saat ini di perusahaan.
Investigasi Google berlangsung dua bulan dari Januari hingga Maret 2017. Semakin lama berlangsung, semakin banyak pertanyaan muncul untuk Symantec dan mengungkapkan pelanggaran dalam penerbitan sertifikat.
Sejarah 2015 , ketika Symantec secara sewenang-wenang mengeluarkan sertifikat untuk domain Google, Opera dan beberapa organisasi lainnya, belum dihapus.
Kemudian Symantec menjelaskan tindakannya sebagai berikut: βSejumlah kecil sertifikat pengujian dikeluarkan secara salah untuk penggunaan internal selama pengujian. Semua sertifikat uji dan kunci ini berada di bawah kendali kami sepanjang waktu dan segera dicabut ketika kami mengetahui masalah tersebut. Tidak ada dampak pada domain apa pun dan tidak ada bahaya bagi Internet. β Karyawan yang melanggar kebijakan dan melakukan insiden dipecat.
Namun,
audit mengungkapkan 187 sertifikat untuk domain yang ada yang dikeluarkan tanpa sepengetahuan pemilik, dan 2458 sertifikat untuk domain yang tidak ada.
Setelah kejadian itu, menjadi jelas bahwa Symantec sangat buruk dalam hal keamanan. Google menuntut agar ia mengambil sejumlah langkah, termasuk mendukung semua sertifikat baru dengan kerangka kerja
Transparansi Sertifikat , melakukan audit tambahan, menerbitkan laporan insiden, dan melibatkan auditor independen.
Sedikit lebih dari setahun telah berlalu sejak insiden terakhir - dan sekarang Google telah kembali ke otoritas sertifikasi Symantec yang bersalah untuk memeriksa kepatuhannya dengan
Kebijakan Sertifikat Root di browser Chrome.
Sejak awal, menjadi jelas bahwa hal-hal di perusahaan tidak banyak membaik. Pada awal penyelidikan, set awal 127 sertifikat dipertimbangkan, tetapi mengingat pelanggaran yang terungkap, itu diperluas menjadi 30.000 lembar yang dikeluarkan selama beberapa tahun.
Google merumuskan hasil penyelidikan sebagai berikut: βKami tidak lagi memiliki kepercayaan pada aturan dan praktik untuk menerbitkan sertifikat Symantec selama beberapa tahun terakhir. Untuk mengembalikan kepercayaan dan keamanan pengguna kami, kami menawarkan langkah-langkah berikut:
- Kurangi periode validitas yang diakui dari sertifikat Symantec yang baru diterbitkan menjadi sembilan bulan atau kurang untuk meminimalkan dampak pada pengguna Google Chrome dari penerbitan salah lebih lanjut yang mungkin terjadi.
- Penyangkalan kepercayaan bertahap yang mencakup beberapa edisi Google Chrome untuk semua sertifikat Symantec yang dikeluarkan sebelumnya yang membutuhkan konfirmasi ulang dan penggantian.
- Penolakan untuk mengakui status EV (Extended Validation) untuk sertifikat yang dikeluarkan oleh Symantec, sampai masyarakat yakin dengan aturan dan praktik Symantec, tetapi tidak lebih awal dari setelah 1 tahun. "
Pengurangan bertahap dalam periode validitas yang diakui dari sertifikat Symantec yang baru dikeluarkan diusulkan untuk diimplementasikan sebagai berikut:
- Chrome 59 (Dev, Beta, Stable): 33 bulan (1023 hari)
- Chrome 60 (Dev, Beta, Stable): 27 bulan (837 hari)
- Chrome 61 (Dev, Beta, Stable): 21 bulan (651 hari)
- Chrome 62 (Dev, Beta, Stable): 15 bulan (465 hari)
- Chrome 63 (Dev, Beta): 9 bulan (279 hari)
- Chrome 63 (Stabil): 15 bulan (465 hari) - versi ini keluar selama liburan Natal, ketika banyak perusahaan memiliki akhir pekan
- Chrome 64 (Dev, Beta, Stable): 9 bulan (279 hari)
Menurut Google, langkah-langkah ini "akan memastikan bahwa tingkat jaminan sertifikat Symantec memenuhi harapan Google Chrome dan ekosistem, dan bahwa risiko dari pelanggaran di masa lalu dan kemungkinan di masa mendatang diminimalisasi sebanyak mungkin."
Anda perlu memahami bahwa Symantec adalah salah satu otoritas sertifikat terbesar di Internet. Jadi, pada Januari 2015, lebih dari 30% dari semua sertifikat di Web dikeluarkan oleh pusat-pusat ini. Benar, ada perubahan signifikan sejak saat itu. Sekarang pemimpinnya adalah Comodo dengan 42,7%, sementara pangsa Symantec
telah turun menjadi 15,4% .
Referensi:Sertifikat Root Symantec