guteksk7 / Shutterstock Google встановив ультиматум для Symantec - будьте повністю прозорими щодо видачі ваших сертифікатів безпеки або веб-сайти, які використовують сертифікати Symantec, будуть визнані Google Chrome небезпечними.
У вересні Symantec у звіті повідомив, що звільнив кількох співробітників за видачу несанкціонованих сертифікатів TSL на доменні імена компаніям, яким вони не належать.
Це означало, що їх можна було використовувати для копіювання веб-сайтів, захищених HTTPS, включаючи веб-сайти Google. Кіберзлочинці могли використовувати сертифікати, щоб видавати себе за авторитетні сайти та залишатись непоміченими.
Спочатку Symantec заявляв, що було видано 23 сертифікати, але Google заперечив цю кількість, заявивши, що вона набагато вища. Після подальшої експертизи Symantec заявив, що існує ще 164 сертифікати на 76 доменів і 2458 сертифікатів на домени, які ще не зареєстровані.
У своєму дописі в блозі Райан Сльові від Google закликав зробити деталі розслідування Symantec публічними та прозорими, щоб зрозуміти, чому кількість виданих сертифікатів була недооціненою. Сюди входить детальна інформація про те, як компанія запобігає цьому більше, а також про те, якими будуть її методи.
Sleevi також закликав Symantec забезпечити, щоб усі сертифікати SSL станом на 1 червня 2016 року видавалися відповідно до прозорості сертифікатів, журналу публічного аудиту.
"Після цієї дати сертифікати, нещодавно видані Symantec, які не відповідають політиці прозорості сертифікатів Chromium, можуть призвести до появи міжсторінкових оголошень або інших проблем при використанні в продуктах Google", - написав Sleevi.
Якщо Symantec та, можливо, будь-який інший видавець сертифікатів не дотримується цих вказівок, він ризикує позначити свої SSL-сертифікати як небезпечні або незахищені, що може надіслати погане повідомлення будь-якому користувачеві, який намагається отримати доступ до сайтів, які використовують їх через Chrome.
У відповідь Symantec заявив, що проблема виникла в результаті помилки тестування. Він заявив, що скасував і включив до списку зазначених сертифікатів і зазначив, що жодним користувачам чи організаціям не було заподіяно шкоди.
"Щоб запобігти такому тестуванню в майбутньому, ми вже запровадили додаткові інструменти, політику та захисні механізми та оголосили про плани розпочати реєстрацію прозорості сертифікатів усіх сертифікатів", - йдеться у повідомленні. "Ми також залучили незалежну третю сторону для оцінки нашого підходу, крім розширення обсягу нашого щорічного аудиту".
