Symantec SSL certificaten binnenkort onveilig

Symantec SSL certificaten binnenkort onveilig

De tijd begint te dringen voor bedrijven die hun websites beveiligd hebben met een SSL-certificaat van Symantec. Eind april zijn Google Chrome en Mozilla Firefox begonnen met het blokkeren van SSL-certificaten van Symantec die zijn uitgegeven voor 1 juni 2016. In oktober zullen alle Symantec certificaten worden geblokkeerd. Dit geldt trouwens ook voor de certificaten van Equifax, GeoTrust, Thawte, VeriSign, en RapidSSL, dochterbedrijven van Symantec. Het slotje op je browser blijft dan rood.

Wat is er aan de hand?

Symantec Corporation is één van vele bedrijven waar je SSL certificaten kunt kopen om jouw website te beveiligen met HTTPS. De browser van jouw bezoeker leest dit certificaat in en op basis van vertrouwen in het uitgiftebedrijf geeft jouw browser een groen of een rood slotje voor de url. En dit vertrouwen is nu net het probleem tussen Symantec en Google/Mozilla, de makers van de Chrome en Firefox browsers. Volgens Google en Mozilla zou Symantec nalatig zijn geweest met het zorgvuldig uitgeven van certificaten. Uit een onderzoek van Google bleek namelijk dat bij de uitgifte van meer dan 30.000 certificaten de verificatie-procedure bij uitgifte niet juist werd toegepast. Deze procedure is nodig om vast te stellen dat de certificaat aanvrager ook daadwerkelijk de eigenaar is van het domein waarop het certificaat moet gaan werken. Op basis van dit onderzoek heeft Google vorig jaar besloten alle deze uitgegeven certificaten niet meer te vertrouwen.

Symantec heeft daarop besloten hun SSL divisie aan DigiCert te verkopen. De certificaten die door DigiCert worden aangemaakt zullen wel vertrouwd worden in Google Chrome en Mozilla Firefox. De oude uitgegeven certificaten van Symantec worden dadelijk nog steeds ongeldig verklaard.

Wat zijn de gevolgen?

Een SSL-certifcaat wat niet wordt vertrouwd levert een waarschuwing op in de browser van jouw website-bezoeker. Dit betekent dus dat veel bezoekers liever niet hun gegevens achterlaten op jouw website. Gevolg dalende bezoekersaantallen en minder verkoop. Er zit dus niets anders op dan een ongeldig certificaat te vervangen door een ander certificaat.

Voorbeelden om te kijken welke organisatie jouw certificaat heeft uitgegevenHoe kan ik nakijken of mijn certificaat ongeldig wordt verklaard?

Ten eerste dien je te controleren of het certificaat wel is uitgegeven door Symantec of één van haar dochterbedrijven. Is dit certificaat door een andere organisatie uitgegeven, zoals bijv. Let’s Encrypt of Comodo dan is er niks aan de hand. Je kunt dit controleren door te klik op het groene slotje bij je website en de certificaat informatie na te lezen. Daarin staat ook welke organisatie het certifcaat heeft uitgegeven.

Twijfel je aan de organisatie dan kun je altijd via de Chrome browser een extra check  op jouw SSL-certifcaat doen.  Open je website in Chrome en open de Development Tools (Deze kun je openen via <CTRL><SHIFT>  i of <F12>). Als in het tabje van de console het onderstaande bericht staat heb je een certificaat wat binnenkort verloopt.

Waarschuwing die je in de chrome browser leest bij een symantec certificaat

Wat moet ik doen?

Eigenlijk heel simpel, het SSL-certificaat te vervangen door een certifcaat van een andere partij die nog wel door browser wordt vertrouwd.

Lees op  https://security.googleblog.com/2017/09/chromes-plan-to-distrust-symantec.html meer over dit onderwerp.

Foto van Matthijs Iriks

Matthijs Iriks

Andere blogs

Load more

Contact

  • Volg ons:
Linkedin-in