Symantec पीकेआई (डिजिटल सर्टिफ़िकेट मैनेज करने के तरीके) को भरोसेमंद न माना जाना: साइट ऑपरेटर तुरंत कार्रवाई करें

बुधवार, 04 अप्रैल, 2018

Google Security Blog से क्रॉस-पोस्ट किया गया.

हमने पहले ही एलान किया था कि Chrome अब Symantec के जारी किए गए सर्टिफ़िकेट को भरोसेमंद नहीं मानता है. इसमें Thawte, VeriSign, Equifax, GeoTrust, और RapidSSL जैसे ब्रैंड भी शामिल हैं, जिनका मालिक Symantec है. इस पोस्ट में बताया गया है कि साइट के ऑपरेटर कैसे पता लगाएं कि इस फ़ैसले से उनकी साइट पर असर पड़ा है या नहीं. साथ ही, अगर असर पड़ा है, तो उन्हें क्या और कब करना चाहिए. अगर इन सर्टिफ़िकेट को नहीं बदला गया, तो ज़्यादातर ब्राउज़र के नए वर्शन में आपकी साइट काम नहीं करेगी. इनमें Chrome भी शामिल है.

Chrome 66

अगर आपकी साइट, Symantec के ऐसे एसएसएल/TLS सर्टिफ़िकेट का इस्तेमाल करती है जिसे 1 जून, 2016 से पहले जारी किया गया था, तो आपकी साइट Chrome 66 वर्शन में काम नहीं करेगी. ऐसा हो सकता है कि इसका असर अभी से आपके उपयोगकर्ताओं पर होने लगा हो.

अगर आपको पता नहीं है कि आपकी साइट इस तरह का सर्टिफ़िकेट इस्तेमाल करती है या नहीं, तो इन बदलावों की झलक Chrome कैनरी में देखी जा सकती है. इससे यह पता चलेगा कि आपकी साइट पर असर पड़ा है या नहीं. अगर आपकी साइट से कनेक्ट करने पर, DevTools में सर्टिफ़िकेट से जुड़ी गड़बड़ी या चेतावनी दिखती है, तो इसका मतलब है कि आपको अपना सर्टिफ़िकेट बदलना पड़ेगा. गड़बड़ी या चेतावनी दिखने का उदाहरण यहां दिया गया है. किसी भी भरोसेमंद सीए से नया सर्टिफ़िकेट लिया जा सकता है. इसमें Digicert भी शामिल है. Digicert ने हाल ही में Symantec के सीए कारोबार को हासिल किया है.

Chrome 66 वर्शन में, लोगों को दिख सकने वाली सर्टिफ़िकेट की गड़बड़ी का उदाहरण
अगर आपकी साइट 1 जून, 2016 से पहले जारी किए गए पुराने Symantec एसएसएल/TLS सर्टिफ़िकेट इस्तेमाल कर रही है, तो Chrome 66 वर्शन के उपयोगकर्ताओं को दिख सकने वाली सर्टिफ़िकेट से जुड़ी गड़बड़ी का उदाहरण.
DevTools में दिखने वाला मैसेज, जिसमें बताया गया है कि Chrome 66 वर्शन आने से पहले आपको सर्टिफ़िकेट बदलना होगा.
अगर आपको Chrome 66 वर्शन आने से पहले सर्टिफ़िकेट बदलना होगा, तो DevTools में आपको यह मैसेज दिखेगा.

Chrome 66 वर्शन को कैनरी और डेव चैनलों के लिए पहले ही रिलीज़ कर दिया गया है. इसका मतलब है कि जिन साइटों पर असर पड़ा है वे Chrome के इन चैनलों के उपयोगकर्ताओं पर पहले से ही असर डालने लगी हैं. जिन साइटों पर असर पड़ा है अगर वे 15 मार्च, 2018 से पहले अपने सर्टिफ़िकेट नहीं बदलती हैं, तो Chrome का बीटा वर्शन इस्तेमाल करने वालों को यह गड़बड़ी दिखने लगेगी. अगर आपकी साइट, Chrome कैनरी में गड़बड़ी दिखा रही है, तो आपको सुझाव दिया जाता है कि जल्द से जल्द अपना सर्टिफ़िकेट बदल लें.

Chrome 70

Chrome 70 या उससे बाद के वर्शन में, Symantec के बाकी बचे एसएसएल/TLS सर्टिफ़िकेट काम नहीं करेंगे. ऐसा होने पर, सर्टिफ़िकेट से जुड़ी गड़बड़ी दिखेगी, जिसका उदाहरण यहां दिया गया है. आपके सर्टिफ़िकेट पर असर पड़ेगा या नहीं, यह देखने के लिए Chrome पर अपनी साइट पर जाएं और DevTools खोलें. अगर आपको सर्टिफ़िकेट बदलने की ज़़रूरत है, तो कंसोल में आपको एक मैसेज दिखेगा.

DevTools में दिखने वाला मैसेज, जिसमें बताया गया है कि Chrome 70 वर्शन आने से पहले आपको सर्टिफ़िकेट बदलना होगा.
DevTools में दिखने वाला मैसेज, जिसमें बताया गया है कि Chrome 70 वर्शन आने से पहले आपको सर्टिफ़िकेट बदलना होगा.

अगर DevTools में आपको यह मैसेज दिखता है, तो जल्द से जल्द आपको अपना सर्टिफ़िकेट बदलना होगा. अगर सर्टिफ़िकेट नहीं बदले जाते हैं, तो 20 जुलाई, 2018 से आपकी साइट पर लोगों को सर्टिफ़िकेट से जुड़ी गड़बड़ियां दिखने लगेंगी. Chrome 70 का पहला बीटा वर्शन 13 सितंबर, 2018 के आस-पास रिलीज़ होगा.

इन तारीखों के आस-पास Chrome रिलीज़ होने की उम्मीद है

नीचे दी गई टेबल में बताया गया है कि Chrome 66 और 70 वर्शन की पहली कैनरी, पहला बीटा वर्शन, और अच्छी तरह काम करने वाला वर्शन कब रिलीज़ किया जाएगा. Chrome के रिलीज़ से पड़ने वाला पहला असर, पहली कैनरी से पड़ने वाले असर से मेल खाएगा. जैसे-जैसे बीटा वर्शन और उसके बाद अच्छी तरह काम करने वाला वर्शन रिलीज़ होगा, वैसे-वैसे यह और ज़्यादा दर्शकों तक पहुंचेगा. साइट ऑपरेटर को सुझाव दिया जाता है कि अपनी साइट में ज़रूरी बदलाव, Chrome 66 और 70 वर्शन की पहली कैनरी रिलीज़ होने से पहले कर लें. ये बदलाव बीटा वर्शन के रिलीज़ होने की तारीख से पहले करना ज़रूरी है.

रिलीज़ पहला कनेयरी पहला बीटा वर्शन अच्छी तरह काम करने वाला वर्शन
Chrome 66 20 जनवरी 2018 ~ 15 मार्च 2018 ~ 17 अप्रैल 2018
Chrome 70 ~ 20 जुलाई 2018 ~ 13 सितंबर 2018 ~ 16 अक्टूबर, 2018

Chrome के किसी खास वर्शन के रिलीज़ होने की समयसीमा के बारे में ज़्यादा जानकारी पाने के लिए, Chromium डेवलपमेंट कैलेंडर भी देखा जा सकता है. अगर रिलीज़ के शेड्यूल में कोई बदलाव होता है, तो उसे इस कैलेंडर में अपडेट किया जाएगा.

कुछ एंटरप्राइज़ उपयोगकर्ताओं की ज़रूरतों को ध्यान में रखते हुए, Chrome में एंटरप्राइज़ नीति भी लागू की जाएगी. यह नीति Chrome 66 वर्शन से पुराने Symantec पीकेआई (डिजिटल सर्टिफ़िकेट मैनेज करने के तरीके) को बंद करने की अनुमति देगी. यह नीति, 1 जनवरी, 2019 से उपलब्ध नहीं होगी और सभी उपयोगकर्ताओं के लिए पुराने Symantec पीकेआई (डिजिटल सर्टिफ़िकेट प्रबंधित करने के तरीके) को भरोसेमंद नहीं माना जाएगा.

खास बातें: Chrome 65

जैसा कि पिछले एलान में बताया गया था कि ऐसे एसएसएल/TLS सर्टिफ़िकेट को भरोसेमंद नहीं माना जाएगा जो पुराने Symantec पीकेआई (डिजिटल सर्टिफ़िकेट मैनेज करने के तरीके) से 1 दिसंबर 2017 के बाद जारी किए गए हैं. इससे ज़्यादातर साइट ऑपरेटर पर फ़र्क़ नहीं पड़ेगा, क्योंकि इस तरह के सर्टिफ़िकेट पाने के लिए, DigiCert के साथ खास कानूनी समझौता करना पड़ता है. Chrome 65 वर्शन से, ऐसे सर्टिफ़िकेट दिखाने वाली साइट को ऐक्सेस नहीं किया जा सकेगा और अनुरोध को ब्लॉक कर दिया जाएगा. इस तरह की गड़बड़ियों से बचने के लिए, पक्का करें कि ऐसे सर्टिफ़िकेट सिर्फ़ पुराने डिवाइसों पर ही दिखाए जाएं न कि ब्राउज़र पर, जैसे कि Chrome.

इसे Chrome सुरक्षा टीम के डेवेन ओब्रायन, रायन स्लीवाई, एमिली स्टार्क ने पोस्ट किया है