• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Google утверждает о проблемах с сертификатами у Symantec

    Еще два года назад у предприятия Symantec зафиксировали определенные проблемы с SSL-сертификатами. Тогда принадлежавший фирме центр сертификации Thawte выпустил поддельные сертификаты со специальной проверкой для ряда сайтов от google. Проблема возникла из-за банального человеческого фактора, были уволены специалисты, которые по ошибке допустили применение предназначенных только для внутреннего тестирования, фальшивых сертификатов.

    Та же проблема повторилась в начале этого года. Поддельные сертификаты выдавались от Symantec снова, об этом заявил Эндрю Айр, являющийся экспертом в SSLMate. Выдавались они, опять же, ошибочно. По утверждениям компании, выпуском занимались партнеры Symantec. В итоге, нелегитимные данные отозвали, привилегии фирм-партнеров понизились.

    Теперь за Symantec взялся Google. Райан Сливи, работающий на этого компьютерного гиганта, отметил, что более 30 тысяч сертификатов, перестанут приниматься в Chrome. С начала января этого года команда Сливи работала над анализом ошибок, допущенных специалистами из Symantec в процессе валидации SSL-сертификатов. Начиналось расследование всего со 127 случаев, но с каждым днем количество проблем росло. В итоге стало ясно, что более 30 тысяч выданных за последние пару лет сертификатов от Symantec являются проблемными. Интересно, что компания в большинстве случаев не проводить должную проверку доменов, поэтому SSL-сертификаты выдаются кому попало.

    Google утверждает о проблемах с сертификатами у Symantec

    Неутешительная история и с логами у предприятия. Люди, работающие в Symantec, не смогли предоставить перечень случаев, когда SSL-сертификат выдавался неуполномоченной стороне.

    Также стало известно, что 4 сторонние фирмы могли пользоваться инфраструктурой компании, то есть без необходимого надзора и контроля выдавать нужные сертификаты. Всё это повлияло на доверие к предприятию, и для всех сертификатов Symantec планируется отозвать расширенную валидацию.

    Компанию ожидает бан на 12 месяцев минимум. Если говорить о сроке годности уже выданных SSL-сертификатов, то они также будут со временем сокращаться (с каждой новой версией Chrome будет отниматься несколько месяцев). Новым сертификатам будет выдаваться срок действия до 9 месяцев.

    Сторона Symantec уже отреагировала на заявление, и назвала все обвинения недостоверными и преувеличенными.  Ошибки с выдачей действительно имели место, но проблема не с 30 тысячами, а всего лишь со 127 сертификатами. Действия эксперта из Google в Symantec назвали неожиданными и безответственными. Очевидно, на этом дело не закончится, и Symantec попытается договориться с Google, вернув доверие. Компания функционирует в соответствии с установленными отраслью стандартами, поэтому можно безоговорочно доверять ее TLS/SSL сертификатам.