Jak wielokrotnie informowaliśmy (Sprawdź: Wciąż korzystasz z nieodnowionego certyfikatu grupy Symantec? Sprawdź dlaczego musisz go wymienić oraz Google i Symantec na ścieżce wojennej – wymiana certyfikatów SSL) konieczna jest wymiana certyfikatów sygnowanych przez grupę Symantec (dotyczy to również Thawte, GeoTrust, RapidSSL), a które zostały wydane przed 1 grudnia 2017.
Wraz z wydaniem Google Chrome 70, strony, które nie otrzymały ponownie wygenerowanego certyfikatu SSL będą informowały odwiedzających o niezaufanym połączeniu. Jak się okazało podczas gdy Google z pełną determinacją realizuje swoją politykę cofnięcia zaufania dla certyfikatów z grupy Symantec, tak Mozilla, która pierwotnie ogłosiła, że będzie również forsować plan Google, teraz wycofuje się z realizacji tego planu. W jednym z wpisów na blogu Wayne Thayer, szef programu root Mozilli, ogłosił, że ze względu na wciąż dużą liczbę stron internetowych, które nie wymieniały swoich certyfikatów SSL, Mozilla nie będzie działać zgodnie z planem cofnięcia zaufania. Jak wyjaśnia Wayne Thayer:
Niestety, ponieważ wiele witryn nie podjęło jeszcze żadnych działań, przeniesienie tej zmiany (cofnięcie zaufania) z przeglądarki Firefox 63 Nightly do wersji Beta wpłynęłoby na znaczną liczbę naszych użytkowników. To niefortunne, że tak wielu właścicieli stron internetowych wciąż nie dokonało aktualizacji swoich certyfikatów, zwłaszcza że DigiCert zapewnia bezpłatne ponowne wygenerowanie. Priorytetowo traktujemy bezpieczeństwo naszych użytkowników i uznajemy, że jest to dodatkowe ryzyko spowodowane opóźnieniem w realizacji planu cofnięcia zaufania. Jednak biorąc pod uwagę obecną sytuację, uważamy, że opóźnienie wydania tej zmiany do końca bieżącego roku, kiedy więcej witryn zastąpi certyfikaty SSL grupy Symantec, leży w ogólnym interesie naszych użytkowników. Ta zmiana pozostanie aktywna w wersji Nightly i planujemy włączyć ją w Firefoksie 64 Beta, gdy zostanie ta wersja wydana w połowie października.
Zgodnie z danymi udostępnionymi przez Mozillę, więcej niż 1% stron z top 1 000 000 (ponad 10 000 stron) wciąż używa certyfikatów Symantec’a wystawionych przez 1 grudnia 2017.
Wyjaśniając przy okazji czym jest Firefox Nightly to w zasadzie Chrome w wersji Mozilli. Jest to zaawansowana przeglądarka, w której Mozilla testuje nowe funkcje i otrzymuje opinie społeczności na temat jej działania. Wersja nightly jest aktualizowana prawie codziennie i zwykle jest wydawanych kilka wersji przed stabilną wersją Firefoksa. W Firefox Nightly zaufanie do certyfikatów SSL firmy Symantec wydanym przed 1 grudnia 2017 r., zostało cofnięte. Na szczęście niewielki odsetek osób korzysta z wersji Nightly. To co Mozilla wstrzymuje w wydaniu stabilnym, domyślnie jest aktywne w przeglądarce Firefox w wersji beta. Innymi słowy Mozilla wstrzymuje się z cofnięciem zaufania dla certyfikatów Symantec, aby dać właścicielom stron więcej czasu na zastąpienie używanych certyfikatów. Z drugiej strony Google nie czeka na tego typu czynności ze strony właścicieli serwisów WWW. Tak więc nasza rada: jeśli jeszcze nie wymieniłeś certyfikatów SSL firmy Symantec wydanych przed 1 grudnia 2017 r. – zrób to teraz.