guteksk7 / Shutterstock Google a stabilit un ultimatum pentru Symantec - să fie pe deplin transparent cu privire la emiterea certificatelor dvs. de securitate sau site-urile care utilizează certificate Symantec vor fi considerate nesigure de Google Chrome.
În septembrie, Symantec a dezvăluit într-un raport că a concediat un număr de angajați pentru eliberarea certificatelor TSL neautorizate pentru nume de domenii companiilor care nu le dețineau.
Aceasta a însemnat că ar fi putut fi folosite pentru a copia site-uri web protejate HTTPS, inclusiv cele ale Google. Infractorii cibernetici ar putea folosi certificatele pentru a identifica site-uri cu o înaltă reputație și pentru a rămâne nedetectate.
Inițial, Symantec a spus că au fost emise 23 de certificate, dar Google a contestat acest număr, spunând că este mult mai mare. În urma unei examinări suplimentare, Symantec a spus că există alte 164 de certificate pe 76 de domenii și 2.458 de certificate pentru domeniile neînregistrate încă.
Într-o postare pe blog, Ryan Sleevi de la Google a solicitat ca detaliile anchetei Symantec să fie făcute publice și transparente pentru a înțelege de ce numărul de certificate eliberate a fost sub estimat. Aceasta implică informații detaliate despre modul în care compania va împiedica acest lucru să se repete, precum și care vor fi metodele sale.
Sleevi a cerut, de asemenea, ca Symantec să se asigure că toate certificatele SSL, începând cu 1 iunie 2016, sunt emise în conformitate cu Certificate Transparency, un jurnal de audit public.
„După această dată, certificatele emise recent de Symantec care nu sunt conforme cu politica privind transparența certificatelor Chromium pot duce la interstițiale sau alte probleme atunci când sunt utilizate în produsele Google”, a scris Sleevi.
Dacă Symantec și, eventual, orice alt emitent de certificate, nu respectă aceste instrucțiuni, riscă ca certificatele SSL să fie semnalate ca nesigure sau nesigure, ceea ce ar trimite un mesaj greșit oricărui utilizator care încearcă să acceseze site-urile care le utilizează prin Chrome.
Ca răspuns, Symantec a declarat că problema a fost cauzată de o eroare de testare. Acesta a declarat că a revocat și a înscris pe lista neagră certificatele în cauză și a spus că nu a existat niciun prejudiciu cauzat utilizatorilor sau organizațiilor.
„Pentru a preveni acest tip de testare să aibă loc în viitor, am pus deja la dispoziție garanții suplimentare pentru instrumente, politici și procese și am anunțat planuri de a începe înregistrarea transparenței certificatelor pentru toate certificatele”, se spune în declarație. „Am angajat și o terță parte independentă pentru a ne evalua abordarea, pe lângă extinderea sferei auditului nostru anual”.
