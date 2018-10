Pohodlně se usaďte a poslechněte si příběh o nezbedné certifikační autoritě, dominantním prohlížeči a dvou mezinárodních společnostech, které málem rozbily internet.

No dobře, příběh o rozbitých certifikátech a o tom, proč není radno zkřížit cestu Googlu možná zase tak epický není, ale není ani úplně bez zajímavosti. Obzvláště když je nejen český web stále ještě webů s neplatnými certifikáty plný.

Co se přesně stalo?

S příchodem Chrome 70 podle oznámení Googlu měla definitivně skončit důvěryhodnost certifikačních autorit, které využívají kořenovou autoritu Symantec. Po mezikroku, kdy si Google u Chrome 66 vynutil u všech certifikátů firmy zveřejnění v Certificate Transparency, se tak jedná o symbolický finální úder. Změna se má dotknout také všech mezilehlých autorit, které jsou kořenovým certifikátem Symantecu podepsané, tedy Thawte, VeriSign, Equifax, GeoTrust a RapidSSL.

Aktuálně to ovšem vypadá, že Google (podobně jako před několika dny Mozilla) šlápl na brzdu a s radikálním krokem ještě počkal. Ve vývojářské konzoli se v Chromu 70 zobrazuje varování, že certifikáty budou brzy nedůvěryhodné (The SSL certificate used to load resources from https://jmenodomeny.cz will be distrusted very soon. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.), ale weby zatím stále fungují. Není ovšem zatím jasné, jak dlouho.

Pokud provozovatelé webů certifikáty nenahradí takovými, které vydává akceptovaná CA, začnou návštěvníkům jejich stránek prohlížeče vyhazovat namísto zobrazeného webu chybovou hlášku „Spojení s tímto webem není bezpečné“ (Your connection is not private).

Vzhledem k tomu, že PKI Symantecu koupil a od 1. 12. 2017 spravuje CA DigiCert, který SSL certifikáty podepisuje vlastním kořenovým certifikátem, netýká se tato povinnost uživatelů s certifikáty vydanými později než 1. prosince 2017. Starší je nutné buď přegenerovat (pokud se to vzhledem k datu jejich expirace vyplatí), nebo převést k jiné CA autoritě.

Proč vůbec musí být SSL certifikáty nahrazeny?

Abychom celou situaci pochopili, musíme se vrátit do roku 2015, kdy se Symantec dostal s Googlem do konfliktu poprvé.

V září tohoto roku totiž Symantec, respektive jím vlastněná certifikační autorita Thawte, vydala EV pre-certifikáty (certifikáty s rozšířenou platností) pro domény google.com a www.google.com, aniž by o to jejich vlastník zažádal nebo k tomu dal alespoň svolení. Google situaci brzy zjistil díky logům z Google Certificate Transparency a na Symantec udeřil. Průšvih, o kterém Symantec nejprve tvrdil, že se týká pouhých tří domén a 23 certifikátů, se nakonec ukázal jako záležitost 187 nesprávně vydaných certifikátů napříč 76 organizacemi 2458 certifikátů pro neexistující domény.

Symantec se nejprve hájil tím, že k chybnému vydání certifikátů došlo omylem při interním testování, celá situace byla pod kontrolou a k revokaci certifikátů došlo okamžitě, jak na chybu přišli. Firma přitom trochu nemístně připomínala, že je v daném segmentu leader trhu, takže je snad důvěra namístě. Společnost také jako součást nápravy propustila několik zaměstnanců na exekutivních pozicích, jak se ale ukázalo, nejspíš zcela zbytečně, nebo možná dokonce neprávem, neboť šlo ve skutečnosti o systémovou chybu a ne o pochybení jednotlivce.

Podtrženo sečteno, celé prvotní vysvětlení ze strany Symantecu působilo velmi neprofesionálně, zmateně a netransparentně a po zjištění, že šlo o 187 nesprávně vydaných certifikátů, si Symantec u Googlu udělal první velký vroubek.