È una vera e propria “guerra dei certificati SSL” quella tra Google e Symantec.
Lo scorso 11 Settembre, infatti, Google ha annunciato sul suo Security Blog ufficiale “Chrome’s Plan to Distrust Symantec Certificates” ovvero il piano di Chrome per “diffidare” i certificati SSL Symantec.
Il colosso di Mountain View, da Marzo 2018, non riconoscerà più come “sicuri” i certificati SSL rilasciati dalla CA Symantec prima del 1° Giugno 2016 e, di conseguenza, i siti web che utilizzeranno questi certificati.
Il tutto avverrà a partire dal rilascio della versione beta 66 di Google Chrome e, successivamente, con quella stabile che verrà resa disponibile dal 17 Aprile 2018.
Come secondo step, verso la fine di Ottobre 2018, con il rilascio della versione 70 di Google Chrome, sarà rimossa del tutto la “fiducia” nell’infrastruttura Symantec e, di conseguenza, non verranno più riconosciuti come sicuri tutti i certificati SSL rilasciati dalla CA Symantec.
Non solo Symantec
A farne le spese dunque non sarà solo Symantec ma anche le Certification Authorities che la stessa Symantec “gestisce”, ovvero: Equifax, Thawte, GeoTrust, VeriSign e RapidSSL. Stando a quanto comunicato da Google, quindi, questi certificati non saranno ritenuti più sicuri dal colosso di Mountain View.
Google è arrivata prendere questa decisione, per certi versi drastica, dopo la scoperta del rilascio non controllato, da parte di Symantec, di oltre trentamila certificati che la stessa azienda aveva rilasciato, grazie al libero accesso dato alla propria infrastruttura ad altri quattro partner.
Mozilla non rimane a guardare
La community di sviluppatori di Firefox, altro diffusissimo browser web, ha fatto sapere che prenderà la stessa strada di Google anche se non ha comunicato ancora nulla a riguardo.
Cosa dovranno fare gli amministratori dei siti web?
Se si utilizza un Certificato SSL emesso da Symantec prima del 1° Giugno 2016, è necessario sostituire quel certificato SSL prima del rilascio di Chrome 66 ossia entro il 17 Aprile 2018. Ancor meglio se il certificato SSL Symantec viene sostituito già con la release beta di Chrome 66 (dal 15 Marzo 2018) per evitare errori/warning sul sito web.
Se invece sei un webmaster che ha acquistato un certificato SSL Symantec dopo il primo Giugno 2016, hai ancora un po’ di tempo per sostituirlo: i siti web che usano questi certificati SSL verranno infatti segnalati come “non sicuri” a partire dalla versione 70 di Crome, che sarà rilasciata in versione stabile dal 23 Ottobre 2018 (in versione beta dal 13 settembre 2018).
Nel caso dovessi acquistare un certificato SSL Symantec da Dicembre 2018, potrai stare tranquillo perché Symantec ha annunciato che i suoi certificati SSL (rilasciati da Dicembre 2018) rispetteranno i requisiti richiesti da Google.
A seguire un piccolo elenco riassuntivo, tenendo conto delle versioni beta del browser Google Chrome:
- Certificato SSL emesso prima del 1° Giugno 2016: cambia certificato prima del 15 Marzo 2018;
- Certificato SSL emesso dopo il 1° Giugno 2016: cambia certificato prima del 13 Settembre 2018;
- Certificato SSL emesso dal 1° Dicembre 2018: nessun problema.
Alternative a Symantec
Fortunatamente Symantec non è l’unica Certification Authority che rilascia certificati SSL.
La Certification Authority Comodo, infatti, propone certificati SSL economici, assolutamente validi e soprattutto totalmente estranei alla vicenda legata a Google Chrome e che non sarà oggetto delle “restrizioni” annunciate finora. Se volete, potete dare uno sguardo alle nostre proposte su questa pagina.