عدم اعتماد به Symantec PKI و اقدام فوری مورد نیاز برای اپراتورهای سایت

ما قبلا اعلام کردیم که برنامه داریم که اعتماد ( دسترسی ) کروم (Chrome ) را به مجوز گواهینامه سیمانتک ( از جمله برند هایی که متلعق به سیمانتک هستند مانند :  Thawte, VeriSign, Equifax, GeoTrust   و RapidSSL ) محروم کنیم.

این پست نحوه عملکرد اوپراتور های سایت را مشخص میکند ، که آیا تحت تاثیر این بی اعتمادی قرار می گیرند یا خیر ، اگر این چنین باشد ، چه زمانی و چه کاری باید کرد . نتیجه عدم جایگزینی این گواهینامه ها باعث شکست سایت در نسخه های آینده مرورگرهای اصلی، از جمله Chrome خواهد شد.

کروم 66
اگر سایت شما از گواهی SSL / TLS که قبل از 1 ژوئن 2016 منتشر شد استفاده می‌کند ، کار در کروم را متوقف خواهد کرد که ممکن است بر کاربران شما تاثیر بگذارد.

اگر در مورد این که آیا سایت شما از این گواهی‌نامه استفاده می‌کند یا خیر ، مطمئن نیستید، می‌توانید برای اینکه ببینید آیا سایت شما آسیب‌دیده است یا خیر این تغییرات را در Chrome Canary پیش‌نمایش کنید و ببینید  . اگر اتصال به محل شما یک خطای گواهی و یا یک هشدار در DevTools را نشان می‌دهد، شما باید گواهی خود را تعویض کنید. شما می‌توانید یک گواهی جدید از هر  CA مورد اعتماد است بگیرید، از جمله Digicert، که اخیرا کسب‌وکار CA را خریداری کرده‌است.

نمونه‌ای از یک خطا که شما از یک گواهی SSL / TLS که قبل از 1 ژوئن 2016 منتشر شد استفاده میکنید، ممکن است نمایان میشود

پیام DevTools که به شما نشان میدهد که آیا باید قبل از Chrome 66 باید گواهی‌نامه خود را عوض کنید یا خیر

کروم 66 در حال حاضر در canary  و Dev عرضه شده‌است و این به معنی این است که سایت‌های قرار گرفته در حال حاضر بر مصرف کنندگان این کانال‌های کروم تاثیر می‌گذارند. اگر سایت‌های قرار داده‌شده تا 15 مارس 2018 گواهی های خود را جایگزین نکنند، کاربران بتا Chrome نیز دچار شکست خواهند شد. اگر سایت شما در حال حاضر یک اشتباه در Chrome canary نشان می‌دهد شما به شدت تشویق به تعویض هرچه سریعتر گواهی خود خواهید شد.

کروم 70

با شروع از کروم 70 همه باقیمانده گواهی‌نامه‌های SSL/TLS از کار باز می ایستد و به یک خطای گواهی مانند آنچه که در بالا نشان‌داده شده‌است، منجر میشود . برای بررسی این که آیا گواهی شما تحت‌تاثیر قرار خواهد گرفت، به سایت خود در کروم مراجعه کنید و DevTools را باز کنید. یک پیغام در کنسول خواهید دید که به شما می‌گوید آیا نیاز دارید که گواهی‌نامه خود را تعویض کنید یا خیر

پیام DevTools به شما نشان خواهد داد که آیا باید قبل از کروم ۷۰ گواهی‌نامه خود را عوض کنید یا خیر .

اگر این پیغام را در DevTools دیدید، باید هر چه زودتر گواهی‌نامه خود را تعویض کنید. اگر این گواهی‌ها جایگزین نشوند، کاربران ایرادات گواهی را در سایت شما  بیستم جولای 2018 مشاهده خواهند کرد. اولین نسخه کروم 70 در 13 سپتامبر 2018 منتشر خواهد شد.

جدول زمانبندی مورد انتظار انتشار کروم

جدول زیر اولین canary  ، اولین بتا  و انتشار نسخه نهایی برای کروم 66 و 70 را نشان می‌دهد.
اولین تاثیر این انتشار ، رسیدن به یک جمعیت در حال گسترش به طور ثابت، همزمان با انتشار بتا و در نهایت پایدار خواهد بود. اپراتورهای سایت تشویق می‌شوند تا تغییرات لازم را در سایت‌های خود قبل از از تاریخ‌های انتشار بتا مربوطه و اولین انتشار canary برای Chrome 66 و 70 انجام دهند.

برای کسب اطلاعات بیشتر در مورد زمان انتشار برای Chromium ، شما می‌توانید به تقویم توسعه کروم نیز مراجعه کنید که باید برنامه را به روزرسانی شود .

در راستای پرداختن به نیازهای کاربران یک سازمان خاص، کروم نیز یک سیاست سازمانی را اجرا خواهد کرد که اجازه غیرفعال کردن عدم اعتماد ارث بری PKI Symantec را می‌دهد که از کروم استخراج شده‌است. تا 1 ژانویه 2019 ، این سیاست دیگر وجود نخواهد داشت و Symantec برای همه کاربران بی اعتماد خواهد بود.

توجه ویژه: کروم ۶۵

همانطور که در اعلامیه قبلی اشاره شد، گواهی‌نامه‌های SSL / TLS از  Symantec که پس از 1 دسامبر 2017 صادر شد دیگر قابل‌اعتماد نیستند. این امر نباید بر اکثر اپراتورهای سایت تاثیر بگذارد، زیرا نیازمند ورود به یک قرارداد خاص با DigiCert برای بدست آوردن چنین گواهی‌هایی هستند . دسترسی به سایتی که چنین گواهی را ارائه ندهد با شکست مواجه خواهد شد و درخواست از کروم ۶۵ مسدود خواهد شد. برای جلوگیری از چنین خطاهایی، اطمینان حاصل کنید که این گواهی‌ها  تنها برای دستگاه‌ها ارث بری می‌شوند نه مرورگرهایی همانند  Chrome.

این مقاله ترجمه شده مقاله Distrust of the Symantec PKI: Immediate action needed by site operators  می باشد