guteksk7 / Shutterstock Google har stillet et ultimatum for Symantec - vær fuldstændig gennemsigtig med hensyn til udstedelse af dine sikkerhedscertifikater, eller websteder, der bruger Symantec-certifikater, betragtes som usikre af Google Chrome.
I september afslørede Symantec i en rapport, at det havde fyret et antal medarbejdere for at have udstedt uautoriserede TSL-certifikater til domænenavne til virksomheder, der ikke ejede dem.
Dette betød, at de kunne have været brugt til at kopiere HTTPS-beskyttede websteder, inklusive dem fra Googles. Cyberkriminelle kunne bruge certifikaterne til at efterligne meget velrenommerede websteder og blive uopdaget.
Oprindeligt sagde Symantec, at der blev udstedt 23 certifikater, men Google har bestridt dette nummer og sagt, at det er meget højere. Efter yderligere undersøgelse sagde Symantec, at der var yderligere 164 certifikater over 76 domæner og 2.458 certifikater for domæner, der endnu ikke er registreret.
I et blogindlæg opfordrede Googles Ryan Sleevi til, at detaljerne i Symantecs undersøgelse blev offentliggjort og gennemsigtige for at forstå, hvorfor antallet af udstedte certifikater blev undervurderet. Dette involverer detaljerede oplysninger om, hvordan virksomheden vil forhindre, at dette sker igen, samt hvad dens metoder vil være.
Sleevi har også opfordret til Symantec til at sikre, at alle SSL-certifikater pr. 1. juni 2016 udstedes i overensstemmelse med Certificate Transparency, en offentlig revisionslog.
"Efter denne dato kan certifikater, der for nylig er udstedt af Symantec, og som ikke er i overensstemmelse med Chromium Certificate Transparency-politikken, resultere i mellemliggende annoncer eller andre problemer, når de bruges i Google-produkter," skrev Sleevi.
Hvis Symantec og muligvis enhver anden certifikatudsteder ikke følger disse retningslinjer, risikerer det, at dets SSL-certifikater markeres som usikre eller usikre, hvilket vil sende en dårlig besked til enhver bruger, der forsøger at få adgang til websteder, der bruger dem via Chrome.
Som svar har Symantec sagt, at problemet skyldtes en testfejl. Det erklærede, at det har tilbagekaldt og sortlistet de pågældende certifikater og sagde, at der ikke var sket nogen brugere eller organisationer nogen skade.
”For at forhindre, at denne type test forekommer i fremtiden, har vi allerede indført yderligere værktøjs-, politik- og procesbeskyttelsesforanstaltninger og bebudet planer om at begynde logning af certifikatgennemsigtighed af alle certifikater,” sagde erklæringen. "Vi har også engageret en uafhængig tredjepart til at evaluere vores tilgang ud over at udvide omfanget af vores årlige revision."
