Google утверждает о проблемах с сертификатами у Symantec

Google утверждает о проблемах с сертификатами у Symantec

Еще два года назад у предприятия Symantec зафиксировали определенные проблемы с SSLсертификатами. Тогда принадлежавший фирме центр сертификации Thawte выпустил поддельные сертификаты со специальной проверкой для ряда сайтов от google. Проблема возникла из-за банального человеческого фактора, были уволены специалисты, которые по ошибке допустили применение предназначенных только для внутреннего тестирования, фальшивых сертификатов.

Та же проблема повторилась в начале этого года. Поддельные сертификаты выдавались от Symantec снова, об этом заявил Эндрю Айр, являющийся экспертом в SSLMate. Выдавались они, опять же, ошибочно. По утверждениям компании, выпуском занимались партнеры Symantec. В итоге, нелегитимные данные отозвали, привилегии фирм-партнеров понизились.

Теперь за Symantec взялся Google. Райан Сливи, работающий на этого компьютерного гиганта, отметил, что более 30 тысяч сертификатов, перестанут приниматься в Chrome. С начала января этого года команда Сливи работала над анализом ошибок, допущенных специалистами из Symantec в процессе валидации SSL-сертификатов. Начиналось расследование всего со 127 случаев, но с каждым днем количество проблем росло. В итоге стало ясно, что более 30 тысяч выданных за последние пару лет сертификатов от Symantec являются проблемными. Интересно, что компания в большинстве случаев не проводить должную проверку доменов, поэтому SSL-сертификаты выдаются кому попало.

Google утверждает о проблемах с сертификатами у Symantec

Неутешительная история и с логами у предприятия. Люди, работающие в Symantec, не смогли предоставить перечень случаев, когда SSL-сертификат выдавался неуполномоченной стороне.

Также стало известно, что 4 сторонние фирмы могли пользоваться инфраструктурой компании, то есть без необходимого надзора и контроля выдавать нужные сертификаты. Всё это повлияло на доверие к предприятию, и для всех сертификатов Symantec планируется отозвать расширенную валидацию.

Компанию ожидает бан на 12 месяцев минимум. Если говорить о сроке годности уже выданных SSL-сертификатов, то они также будут со временем сокращаться (с каждой новой версией Chrome будет отниматься несколько месяцев). Новым сертификатам будет выдаваться срок действия до 9 месяцев.

Сторона Symantec уже отреагировала на заявление, и назвала все обвинения недостоверными и преувеличенными.  Ошибки с выдачей действительно имели место, но проблема не с 30 тысячами, а всего лишь со 127 сертификатами. Действия эксперта из Google в Symantec назвали неожиданными и безответственными. Очевидно, на этом дело не закончится, и Symantec попытается договориться с Google, вернув доверие. Компания функционирует в соответствии с установленными отраслью стандартами, поэтому можно безоговорочно доверять ее TLS/SSL сертификатам.