Symantec genudstedelse
På grund af flere hændelser med udstedelsen af Symantec certifikater i de seneste år har Google og Mozilla mistet tilliden til Symantecs certifikatudstedelse. I mellemtiden er der opnået enighed: SSL divisionen vil blive overtaget af DigiCert, hvilket betyder, at Symantec certifikater vil forblive bekendt med Google Chrome og Mozilla Firefox. Fra 1. december 2017 kan du gratis genudstede certifikaterne fra Symantec, GeoTrust og Thawte, så de forbliver bekendt med disse browsere.
Planlægning
Den 11. september 2017 offentliggjorde Google sin endelige plan for at standse support for Symantec certifikater. Mozilla Firefox har også annonceret sin tidsplan. Chrome er den mest anvendte browser på verdensplan, så vi holder denne tidslinje som førende.
Udvirkning på certifikater i Google Chrome
Symantec-, GeoTrust- og Thawte certifikater udstedt under den gamle VeriSign rod vil afhængigt af udstedelsesdatoen ikke længere have tillid i Google Chrome. Det har ingen indflydelse på certifikater fra Comodo eller GlobalSign. Certifikater fra Symantec, GeoTrust og Thawte har brug for en gratis genudgivelse for at være fortrolig med browserne:
- Certifikater udstedt inden 1. juni 2016 vil ikke længere have tillid fra Chrome version 66 pr. 15. marts 2018. Disse certifikater kræver en genudstedelse mellem 1. december 2017 og 15. marts 2018.
- Certifikater udstedt mellem 1. juni 2016 og 1. december 2017 vil ikke længere have tillid fra Chrome version 70 pr. 16. oktober 2018. Disse certifikater kræver en genudstedelse mellem 1. december 2017 og 16. oktober 2018.
DigiCert udsteder Symantec certifikater fra 1. december 2017. Symantec certifikater, der udstedes via DigiCert's nye infrastruktur fra nu af, understøttes fuldt ud af fremtidige Chrome versioner.
Udvirkning på certifikater i Mozilla Firefox
Mozilla annoncerede i begyndelsen af oktober, at det ville udsætte støtten til Symantec. Den tidligere annoncerede deadline for Firefox version 63, pr. 23. oktober 2018, er flyttet til Firefox version 64, som er planlagt til december. Årsagen til dette er, at stadig mere end en procent af de en million mest populære websteder på Internettet gør brug af certifikaterne udstedt af Symantec. På grund af denne udsættelse håber Mozilla at give hjemmesider mere tid til at forny deres certifikat.
Tidslinjen, som Mozilla har annonceret, er som følger:
- Fra januar 2018 (Firefox version 58) giver Developer delen advarsel for Symantec certifikater udstedt før 1. juni 2016.
- Fra mai 2018 (Firefox version 60) vise websteder en usikker forbindelse ved brug af et Symantec certifikat udstedt før 1. juni 2016.
- Fra december 2018 (Firefox version 64) er alle Symantec certifikater udstedt fra den gamle PKI-infrastruktur (før 1. december 2017) ikke længere betroede.
Ud over browsere har SSLLabs meddelt, at det vil justere scoren i deres SSL Server Test fra 1. marts 2018 til en T-score, hvis et websted bruger et Symantec SSL certifikat udstedt før 1. juni 2016.
Udskiftningsprocedure
Fra 1. december 2017 kan du begynde at udskifte certifikater. Du har valget mellem genudgivelse eller, afhængigt af det resterende tidsrum, straks at udvide certifikaterne. Alternativt kan du skifte til et andet mærke. Hvis du ønsker, kan du udskifte dine certifikater gratis eller til nedsat pris til sammenlignelige certifikater fra Comodo eller GlobalSign. Kontakt os venligst her.
Indflydelse af begrænsning af gyldighed til 2 år
Fra 1. marts 2018 er det maksimalt tilladte tidsrum for alle mærker og typer af SSL certifikater 825 dage (ca. 27 måneder). Hvis du efter denne dato fornyer et Symantec-, Thawte- eller GeoTrust-certifikat, der er gyldigt i længere tid end disse 825 dage på genudgivelsestidspunktet, er det resterende tidsrum begrænset til 825 dage.
Udskiftning via genudgivelse
Fra december 1, 2017, kan du begynde at genudstede certifikater:
- I kontrolpanelet kan du finde de certifikater, der skal genudstedes fra begyndelsen af december. Den senest mulige genudgivelses dato vises også. Derudover vil vi sende dig alle oplysninger via e-mail, hvis du har certifikater, der kræver en genudstedelse.
- For hvert certifikat, der skal erstattes, skal du vælge genudgivelses optionen i kontrolpanelet. Det er tilrådeligt at oprette en ny CSR for dette. Et alternativ er at genbruge den gamle CSR, som du kan finde tilbage i kontrolpanelet.
Udskiftning via en udvidelse
Med en genudgivelse modtager du et nyt certifikat med samme betegnelse som det gamle certifikat. For at være fortrolig med Chrome kan du vælge en udvidelse i stedet for denne genudgivelse. Du modtager et nyt certifikat med et ny gyldighedsperiode plus det gamle certifikats resterende levetid.
Forlængelsesperioden for 1-årige Symantec-, GeoTrust- og Thawte-certifikater er blevet forlænget fra 40 til 210 dage. Dette giver dig mulighed for at forny dine certifikater tidligere, hvilket gør udskiftningsproceduren lettere og mindre tidskrævende. Alle Symantec certifikater udstedt inden 1. december 2017, der er gyldige i højst 210 dage, kan fornyes straks i højst 1 år. Du får den resterende periode, afrundet op til måneder. Eksempel: Du fornyer et certifikat, som er gyldigt i yderligere 135 dage på fornyelsestidspunktet. Derefter modtager du et nyt certifikat med en varighed på 1 år og 5 måneder (den gamle varighed på 135 dage / 4,5 måneder afrundet). På grund af varigheden af begrænsningerne fra CA/Brower Forum gælder dette ikke for 2-årige certifikater. For forlængelsen til et 2-årigt certifikat gælder forlængelsesperioden på 40 dage. For at drage fordel af den forlængede forlængelsesperiode kan du forlænge et 2-årigt certifikat til et 1-årigt certifikat
Validering
For nogle certifikater kræves der en ny validering – derfor skal du ikke vente til sidste øjeblik med genudstedelsen. Millioner af certifikater skal udskiftes på verdensplan, og derfor skal der også tages hensyn til lidt længere leveringstider.
- For certifikater med domæne validering udføres validering igen via e-mail.
- For certifikater med organisations og udvidet validering revurderes virksomhedens data, hvis denne kontrol blev gennemført for mere end 27 måneder siden på genudgivelsestidspunktet.
Installation
Efter genudgivelsen modtager du en e-mail med et erstatningscertifikat og CA-certifikater til installation på din webserver. De nye rodcertifikater findes i Download sektionen.
For at få den bredest mulige browserunderstøttelse er de nye rodcertifikater kryds signeret med den gamle Symantec root.
Problem mellem Google og Symantec
I begyndelsen af 2017 blev det kendt, at flere certifikater blev uretfærdigt udstedt hos Symantec. Efter undersøgelsen viste det sig, at tilsynet med partnere, der fik lov til selvstændig at udstede certifikater under Symantecs rodcertifikater, ikke har været tilstrækkelige de seneste år. Disse partnere har udstedt Symantec certifikater på en måde, der ikke opfyldte de gældende krav. Symantec har ikke identificeret manglerne i tiden og reagerede heller ikke tilstrækkeligt nok ifølge Google og meddelte ikke disse problemer på eget initiativ. Som svar meddelte Google, at det ville ophøre med support til Symantec, GeoTrust og Thawte certifikater i Google Chrome.
I august 2017 blev det annonceret, at den amerikanske certifikatmyndighed DigiCert overtager hele PKI divisionen fra Symantec. Ved at gøre brug af denne infrastruktur er Googles krav til sikrere certifikatadministration opfyldt, uden at Symantec skal udskifte sin forældede PKI infrastruktur.
Nyttige oplysninger
- Manualer til generering af CSR og certifikat installation
- Procedure for genudstedelse
- Valideringsprocedurer
Relaterede artikler
Har du brug for hjælp?
Ring til os +45 898 719 39
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.