Google обвинила компанию Symantec в ненадлежащем шифровании 30000 сертификатов для зашифрованных веб-соединений. Это серьезное обвинение способно подорвать доверие пользователей, которые предпочитают лишь защищённые соединения.
Инженер команды Google Chrome Райан Сливи (Ryan Sleevi) сообщил, что команда Google с конца января этого года расследовала ряд ошибок допущенных Symantec Corporation, касающийся правильной проверки сертификатов.
Начальный набор ошибочных сертификатов с 127 расширился и сейчас составляет, по меньшей мере, 30 000 сертификатов, выданных за последние несколько лет — это связано с рядом отказов от предыдущего набора неверных сертификатов Symantec, который пошатнул уверенность Google в правильности политики и практики Symantec Corporation за последние несколько лет.
Инженер Google пишет, что Symantec предоставляла доступ к своей инфраструктуре как минимум четырем сторонним организациям, которые могли выдавать сертификаты, однако должного контроля и надзора за их работой компания не осуществляла. А когда были предоставлены доказательства того, что этими организациями не соблюдается соответствующего стандарта обслуживания, Symantec не уделил этому вопросу должного внимания. Из-за этого специалисты Symantec не сумели в отведенные сроки ответить на запросы Google и предоставить информацию, касающуюся инцидентов.
Теперь в Google планируют отозвать Extended Validation статус для всех сертификатов Symantec. Также постепенно будут сокращаться сроки действия для уже выданных сертификатов Symantec: если в Chrome 59 срок действия сертификатов будет ограничен 33 месяцами, то в Chrome 62 это значение составит уже 15 месяцев, а в Chrome 64 и вовсе сократится до 9 месяцев. Кроме того все новые сертификаты Symantec предлагается изначально ограничивать девятимесячным сроком годности.
Представители Symantec уже отреагировали на эти обвинения. В блоге компании
появилась запись, в которой обвинения Google названы «преувеличенными и недостоверными».
Комментарии0
Оставить комментарий