W zeszłym roku świat obiegła sensacyjna wiadomość: Google obniżył poziom zaufania wobec certyfikatów SSL wystawionych przez firmę Symantec. Decyzja ta została podjęta na podstawie wiarygodnych przesłanek, świadczących o niedotrzymaniu przez Symantec-a standardów związanych z procedurami wydawania certyfikatów SSL.
Skrucha i koniec wojny?
O tym, kto rozdaje karty w Internecie, dowiedzieliśmy się już pod koniec 2017 roku. Starcie pomiędzy obydwoma gigantami jednoznacznie wygrało Google a Symantec, w ramach skruchy, postanowił wprowadzić szereg zmian w działaniu CA (urzędu certyfikacji). Postanowienie poprawy ze strony giganta w sferze SSL sprawiło, że Google zgodził się na podpisanie stosownego porozumienia, w ramach którego wszystkie certyfikaty wydane od 1 grudnia 2017, będą przez Google honorowane.
Na czym polegała wspomniana zmiana? Otóż od początku grudnia zeszłego roku, wszystkie certyfikaty SSL udostępniane przez Symantec-a udostępnia się za pośrednictwem Digicerta, który jest jednym z najbardziej znanych na świecie centrów certyfikacji. Oznacza to również, że certyfikaty zakupione po 1 grudnia 2017, będą wyświetlane w Google Chrome a także wspierane przez wyszukiwarkę (zoptymalizowane SEO).
Kiedy zaktualizować?
O wiele większym problemem niż wprowadzenie formalnie nowych certyfikatów, było zaktualizowanie tych już istniejących do wersji akceptowalnej przez Google. Ramy czasowe narzucone przez najpopularniejszą wyszukiwarkę świata są zbieżne z datą zapowiadanych aktualizacji Google Chrome. Przykładowo, 15 marca tego roku upłynął termin zaktualizowania tych certyfikatów, które zostały wydane przed 1 styczniem 2016 roku. To właśnie tego dnia pojawiła się na rynku nowa przeglądarka Chrome 66, która blokowała wyżej wymienione certyfikaty.
Oczywiście to nie wszystko. W ramach drugiego etapu aktualizacji wydanych certyfikatów, Symantec zobowiązał się do upgrade’u tych produktów, które zostały wydane do 1 grudnia 2017 roku. Choć już wcześniej zapowiadano, że ostateczny termin to wrzesień tego roku, z różnych powodów przesunięto go aż na 23 października tego roku. To właśnie wtedy, Google wypuści kolejną wersję swojej przeglądarki, tym razem oznaczoną numerem 70. Oczywiście będzie ona blokować wszystkie certyfikaty, które nie spełniają nowych warunków stawianych przez Google.
Bezpieczeństwo, czy zagrożenie?
Oczywiście wyżej opisane zdarzenie w dużej mierze podważyło skuteczność (i sensowność) stosowania certyfikatów SSL. Efekt ten był spotęgowany przez fakt, iż „łupem” Google padł właśnie Symantec, który jest jednym z największych sprzedawców certyfikatów bezpieczeństwa na całym świecie.
Aktualizacja certyfikatów wydanych przez Symantec-a może rodzić znacznie więcej problemów, niż mogłoby się to wydawać. Ten skądinąd prosty proces, może stać się powodem wyłudzania pieniędzy od niczego nieświadomych właścicieli witryn. Pobieranie jakichkolwiek dodatkowych opłat z tego tytułu nie jest uczciwe i narusza dobra Klienta.
Certyfikacja i jej sens
Pomimo zawirowań na rynku certyfikatów (którego skutki odczuwać będziemy prawdopodobnie do końca tego roku), nadal warto je instalować. Szyfrowanie transmitowanych danych na różnych poziomach nadal przynosi znacznie więcej korzyści, niż kłopotów. Zwłaszcza, że odpowiednia kontrola procesu nadawania certyfikatów eliminuje praktycznie wszelkie niejasności z tym związane.
Podsumowując, certyfikat SSL to nie przykry obowiązek, z którego trzeba się wywiązać, lecz inwestycja w bezpieczeństwo własnej witryny internetowej.