Представители Symantec продолжают публичный диалог и внесли свои предложения по выпуску SSL-сертификатов

23 марта разработчики Google Chrome анонсировали в своем блоге планируемые последствия для Symantec за неверную выдачу SSL-сертификатов. Компания Symantec тщательно проанализировала имевшие место события и подготовила список действий, направленных на усиление безопасности в сфере выдачи SSL-сертификатов.

В первую очередь компания Symantec обратилась к своим клиентам, чтобы оценить потенциальное влияние описанных Google санкций за ошибочный выпуск SSL-сертификатов. Среди клиентов компании значатся многочисленные финансовые сервисы, медицинские организации, правительственные учреждения и т.д. Если планируемые изменения Google вступят в силу, то инфраструктура данных организаций сильно пострадает ввиду сложных зависимостей от корневых сертификатов Symantec.

Процесс перехода к новому центру сертификации может растянуться на несколько месяцев, а в некоторых случаях и на годы, поскольку могут возникнуть неизвестные или недокументированные зависимости. Кроме того, лишь немногие компании успели внедрить автоматизацию нового жизненного цикла сертификатов, что требуется для безопасного и выгодного внедрения сертификатов с более коротким сроком действия. Проблемы с совместимостью, которые могут возникнуть в результате полномасштабной замены сертификатов, будут весьма серьезными и непредсказуемыми, считают представители Symantec.

Предложения сообществу со стороны Symantec

Компания Symantec понимает, что необходимо обеспечить полную прозрачность всех действий удостоверяющего центра, а потому она внесла свои предложения, направленные на усиление доверия и достижение непревзойденного уровня безопасности.

1. Symantec предложили провести ретроспективный аудит всех выпущенных ими активных EV SSL-сертификатов, чтобы доказать свою надежность и ответственность. В качестве аудиторов планируется привлечь стороннюю компанию. Это предложение было внесено в ответ на планируемый отказ в доверии EV сертификатам от Symantec в браузере Chrome (как прошлым, так и будущим). Компания планирует завершить сторонний аудит до конца августа 2017.
   
2. Исторически сложилось так, что Symantec выпускали сертификаты либо напрямую, либо через партнерские регистрационные центры (RA). В качестве второй меры Symantec хотят провести аудит всех сертификатов, выпущенных их RA-партнерами, включая CrossCert, Certisign, Certsuperior и Certisur. Эту проверку также планируется завершить до конца августа 2017.
   
3. Symantec проведут шестимесячный аудит WebTrust в период с 1 декабря 2016 по 31 мая 2017. После этого аудит будет проводиться ежеквартально, начиная с 1 июня 2017 по 31 августа 2017. Цель этого действия – обеспечение максимальной прозрачности в отношении всех операций и новых сертификатов, выпущенных Symantec.
   
4. Будет опубликован ежеквартальный отчет, из которого сообщество сможет узнать о прогрессе внешних аудитов и о ходе программы всестороннего улучшения компании.
   
5. Symantec внесут в CA/B Forum предложения по улучшению руководств, связанных с исключительными запросами клиентов. По мнению Symantec, руководства должны быть дополнены пунктами, связанными с оценкой риска, который несут в себе такие запросы клиентов. Также нужно будет прописать условия, при которых CA/B Forum сможет эффективно утверждать такие исключительные запросы (выходящие за рамки установленных правил). 
   
6. Symantec планируют пересмотреть процедуру ответа на запросы сообщества браузеров, сделав ответы более детальными и быстрыми.
   
7. Symantec полностью поддерживают переход к сертификатам с более коротким сроком действия. К 31 августа 2017 компания планирует предлагать SSL/TLS-сертификаты с трехмесячным сроком действия, которые будут востребованы у клиентов, уже внедривших автоматизацию SSL. Symantec в краткосрочной перспективе инвестируют средства в модернизацию систем выдачи сертификатов и создание инструментов, которые позволят клиентам компании быстро и безопасно внедрять свои сертификаты и конфигурировать свои системы.
   
8. Symantec проведут повторную проверку всех выпущенных сертификатов, срок действия которых превышает 9 месяцев. Повторная проверка позволит увеличить доверие к исходному сертификату, что является расширением базовой модели доверия УЦ.
   
9. Компания увеличивает инвестиции в безопасность и оценку рисков. Первый шаг: привлечение сторонней компании для проведения анализа и оценки рисков всех операций УЦ Symantec. Эти действия планируется завершить к концу октября 2017 года.
   
10. Symantec обновят свою корневую программу (Root Program), чтобы явно разграничить разные случаи использования сертификатов. К примеру, будут созданы специализированные корни и/или субцентры сертификации для сегментирования клиентов, которые используют публичные иерархии для закрытых экосистем, для смешанных экосистем, клиентов, которым требуются сертификаты с более продолжительным сроком действия, клиентов, которые работают с объемным веб-трафиком и т.д. 
    
11. Компания Symantec планирует внедрить свою технологическую инфраструктуру Global Intelligence Network для выявления кодированных веб-сайтов, которые имеют высокий риск угроз. К таким сайтам будут применяться меры по снижению риска для сертификатов Symantec.
    

Какие меры уже были предприняты Symantec

Symantec уже осуществили ряд действий, представленных в предложении выше. Во-первых, компания решила закрыть выпуск сертификатов через регистрационные центры (RA). Также специалисты провели аудит всех сертификатов, выпущенных их прошлыми RA-партнерами. Отчет о сертификатах опубликован в блоге Symantec.

Во-вторых, Symantec добилась беспрецедентного уровня безопасности сертификатов, внося в логи прозрачности абсолютно все сертификаты (не только EV, но и DV с OV). Индустрия пока только движется в этом направлении. 

Symantec – один из ключевых игроков в экосистеме веб-доверия. Компания прилагает все усилия для того, чтобы минимизировать последствия, вызванные ошибочным выпуском SSL-сертификатов.