Google Tidak akan Mempercayai Sertifikat (SSL) Symantec di 2018

GoogleTidakakanMempercayaiSertifikat(SSL)Symantecdi2018

Google telah mengungkapkan rencana resmi untuk tidak mempercayai sertifikat keamanan Symantec termasuk didalamnya adalah VeriSign, Thawte, Equifax, GeoTrust, dan RapidSSL yang dimulai saat peluncuran Chrome 66 pada tahun 2018.

Rencana raksasa teknologi tersebut diposkan di blog resmi Google Security, yang menyatakan bahwa dimulai dengan Chrome 66, selain sertifikat keamanan yang dikeluarkan Symantec sebelum 1 Juni 2016, akan diterima sebagai sah dan dapat dipercaya.

Pada tanggal 1 Desember tahun ini, Symantec akan mengalihkan penerbitan sertifikat ke infrastruktur DigiCert, jadi apa pun yang dikeluarkan berdasarkan infrastruktur lama setelah tanggal yang sama juga tidak akan dipercaya oleh Chrome.

Versi terbaru dari browser web Chrome adalah 61.0.3163, namun versi 66 dijadwalkan diluncurkan ke pengguna Chrome Beta pada tanggal 15 Maret 2018 dan pengguna Chrome standar sekitar 17 April 2018.

Google pertama kali membuat niatnya diketahui pada bulan Juli, namun para webmaster telah diberi peringatan resmi atas perubahan yang terjadi.

Pengumuman asli tersebut menimbulkan perdebatan serius di forum blink-dev, dan menurut Google, mereka memberi waktu kepada Symantec untuk “memodernisasi dan mendesain ulang infrastrukturnya agar mematuhi standar industri.”

Pada tahun 2015, sertifikat root Symantec ditemukan yang tidak sesuai dengan standar keamanan modern, yang menyebabkan Google mencabut kepercayaan untuk mendapatkan sertifikat tersebut. Pada bulan Januari tahun ini, firma keamanan mengeluarkan sertifikat uji dan contoh secara tidak sengaja melalui seorang mitra, yang mengarah ke penyelidikan.

Otoritas Sertifikat (Certificate Authorityities / CAs) dan sertifikat keamanan yang mereka buat dimaksudkan untuk menjamin tingkat keamanan dasar, namun jika CA tidak dipercaya, sertifikat ini dapat membahayakan pengguna akhir ketika mencoba untuk terhubung ke domain web.

Webmaster yang menggunakan sertifikat yang dikeluarkan oleh Symantec CA sebelum 1 Juni 2016 perlu mengganti sertifikat yang ada sebelum batas waktu.

Sekitar 23 Oktober 2018, Chrome 70 akan dirilis, dimana akan “menghapus sepenuhnya kepercayaan pada infrastruktur lama Symantec dan semua sertifikat yang telah dikeluarkannya” (sertifikat keamanan yang dikeluarkan Symantec sebelum dan sesudah 1 Juni 2016).

“Ini akan mempengaruhi sertifikat yang ada pada root Symantec, kecuali jumlah kecil yang dikeluarkan oleh CA bawahan yang dioperasikan secara independen dan diaudit yang sebelumnya diungkapkan ke Google,” kata perusahaan itu.

Masih dimungkinkan bagi webmaster untuk mendapatkan sertifikat dari infrastruktur CA yang ada di Symantec, namun harus diganti sebelum Chrome 70 – dan validitasnya dibatasi hingga 13 bulan.

Google telah memberikan rincian waktu tentang perubahan, yang dapat dilihat di sini.

Sekarang DigiCert telah mengambil alih bisnis CA Symantec, kami dapat berharap bahwa sertifikat baru semuanya akan memenuhi standar keamanan modern dan jenis kegagalan ini tidak akan terjadi di masa depan.

Pada bulan Juli, Symantec mengakuisisi perusahaan keamanan seluler Skycure, sebuah perusahaan Israel yang menyediakan platform deteksi ancaman prediktif untuk perangkat mobile.

Komentar

Alamat email Anda tidak akan dipublikasikan.