Bardzo dużo serwisów straciło nagle Extended Validation certyfikatu SSL – w nowym Chrome

TL;DR: wejdźcie np. na stronę Symanteca lub Bank of America w najnowszym Chrome (wersja: 57.0.2987.110 na Windows). Widzicie Extended Validation? Bo my nie… To tylko przykładowe dwa serwisy, a podobne działanie Chrome można zauważyć na wielu, wielu innych stronach.

Czy jest powód do paniki? Naszym zdaniem – zdecydowanie nie. Ale warto śledzić rozwój sytuacji.

Symantec – brak EV

Dla pewności – w Firefoksie wszystko jest OK:

EV

Takie zachowanie Chrome można zauważyć na wielu polskich stronach, a wątek wskazujący na potencjalne problemy można znaleźć w notce od Google, którą relacjonowaliśmy tutaj:

Q: More specifically, why does Firefox still display the EV chip on BoA, and Symantec, while Chrome stopped displaying the chip almost immediately after I read this post when it was first shared.

A: This is a separate bug related to how Symantec encodes its EV status in a certificate and how Chrome recognizes that EV status. See and star https://bugs.chromium.org/p/chromium/issues/detail?id=705285 for further details.

Przypadek, nie przypadek? (dla jasności – odpowiedź sugeruje, że jest to osobny problem niż propozycje wyciągnięcia konsekwencji dla Symanteca w przeglądarce Chrome; trochę dziwi tylko niemal idealne zgranie terminów dwóch problemów…).

Dla pewności – widzimy też kilka miejsc, gdzie tego typu problem jest z certyfikatem podpisanym przez zupełnie inny CA niż Symanteca…

–ms