USD 96.11 ЕВРО 105.69

Баг Chrome вызывает ошибки при просмотре веб-сайтов с SSL сертификатами Symantec

Экономика

Данный баг присутствует в Chrome на всех платформах, а также в компоненте WebView на Android

Если вы сталкивались с ошибками в течение последнего месяца при попытке доступа к сайтам с поддержкой HTTPS на компьютере или Android-телефоне, это может быть связано с багом в браузере Chrome.
 

Баг касается проверки некоторых SSL-сертификатов, выданных компанией Symantec, одного из крупнейших в мире органов сертификации, а также GeoTrust и Thawte, двух центров сертификации, которые также контролирует Symantec.
 
Баг появился в Chrome версии 53, но он повлиял и на компонент Android WebView, который Android-приложения используют для отображения веб-контента, написал в своем блоге Рик Эндрюс, старший технический директор Symantec.
 
Чтобы устранить эту проблему на Android, конечные пользователи должны обновить до самой последней версии WebView и Chrome до предстоящей версии 55. «Разработчикам, использующим Android Open Source Platform (AOSP), необходимо будет пересмотреть свои приложения для обеспечения совместимости».
 
Несмотря на то, что это компонент системы, начиная с Android 5.0 (Lollipop), WebView поставляется в виде пакета приложения, которое обновляется через магазин Google Play.
 
Версия 55 WebView Android System была выпущена 1 декабря, но актуальный Chrome для Android все еще версии 54, выпущенной в конце октября.
 
Google внесла изменения в версию 54 Chrome на Windows, Mac, Linux и iOS, а также в Chromium и Chrome Custom Tabs, так что сертификаты Symantec больше не вызывают ошибок проверки подлинности. Эта проблема полностью исправлена на всех платформах в Chrome версии 55, сказал Эндрюс.
 
Вы должны обновить все браузеры до версии 55, как только она станет доступной для вашей платформы. Для многих платформ, эта версия была выпущена 1 декабря.
 
Проблема появилась из-за решения компании Google заставить Symantec опубликовать все сертификаты, выданные Центрами сертификации компании после 1 июня, в публичном логе Certificate Transparency.
 
Это решение было принято после того, как внутреннее расследование Symantec по несанкционированной выдаче сертификатов EV (Extended Validation) для google.com в прошлом году пропустило более 150 других сертификатов, выданных без разрешения владельцев доменов. Symantec тогда сказала, что сертификаты были выданы для целей тестирования, и никогда не покидали компанию.
 
Поскольку центры сертификации зависят от производителей браузеров, чтобы те доверяли их корневым сертификатам, такие компании, как Google, Mozilla, Microsoft и Apple, могут привлечь их к ответственности, когда они нарушают правила выдачи сертификатов. После инцидента с Symantec, Google реализовала механизм в Chrome версии 53, позволяющий доверять только сертификатам, выданным компанией после 1 июня 2016 года, что соответствует политике Certificate Transparency.
 
Еще один механизм в браузере устанавливает лимит на 10-недельное доверие данным Certificate Transparency, чтобы избежать устаревания этой информации. Когда эта проверка сочеталась с проверкой CT-соответствия сертификатов Symantec, это вызвало непреднамеренные сбои проверки подлинности даже для соответствующих сертификатов.