guteksk7 / Shutterstock Google stanovil ultimátum pre spoločnosť Symantec - buďte úplne transparentní pri vydávaní vašich bezpečnostných certifikátov alebo weby, ktoré používajú certifikáty Symantec, budú považované prehliadačom Google Chrome za nebezpečné.
V septembri spoločnosť Symantec v správe odhalila, že prepustila niekoľko zamestnancov za vydávanie neoprávnených certifikátov TSL pre názvy domén spoločnostiam, ktoré ich nevlastnia.
To znamená, že ich bolo možné použiť na kopírovanie webov chránených protokolom HTTPS, vrátane webov spoločnosti Google. Počítačoví zločinci by mohli pomocou certifikátov vydávať sa za renomované stránky a zostať nezistení.
Spoločnosť Symantec pôvodne uviedla, že bolo vydaných 23 certifikátov, avšak spoločnosť Google spochybnila toto číslo a uviedla, že je oveľa vyššie. Po ďalšom preskúmaní spoločnosť Symantec uviedla, že existuje ďalších 164 certifikátov nad 76 domén a 2 458 certifikátov pre domény, ktoré ešte nie sú zaregistrované.
Ryan Sleevi z Googlu v príspevku na blogu vyzval na zverejnenie a transparentnosť podrobností vyšetrovania spoločnosti Symantec, aby pochopili, prečo bol počet vydaných certifikátov podhodnotený. Jedná sa o podrobné informácie o tom, ako spoločnosť zabráni tomu, aby sa to už nezopakovalo, a tiež o tom, aké budú jej metódy.
Sleevi tiež vyzval spoločnosť Symantec, aby zabezpečila, že všetky certifikáty SSL sa od 1. júna 2016 budú vydávať v súlade s verejným protokolom auditu certifikátov Transparency.
„Po tomto dátume môžu certifikáty novo vydané spoločnosťou Symantec, ktoré nie sú v súlade s pravidlami pre transparentnosť certifikátov chrómu, viesť pri používaní v produktoch Google k intersticiálnym reklamám alebo iným problémom,“ napísal Sleevi.
Ak spoločnosť Symantec a prípadne akýkoľvek iný vydavateľ certifikátov nedodržiava tieto pokyny, riskuje, že jeho certifikáty SSL budú označené ako nebezpečné alebo nezabezpečené, čo by poslalo zlú správu každému používateľovi, ktorý by sa pokúsil dostať na stránky, ktoré ich používajú, prostredníctvom prehliadača Chrome.
Spoločnosť Symantec v reakcii uviedla, že problém spôsobila chyba pri testovaní. Uviedlo, že zrušilo a zaradilo predmetné certifikáty na čiernu listinu a uviedlo, že žiadnym používateľom ani organizáciám nevznikla škoda.
„Aby sme zabránili tomu, aby sa tento typ testovania v budúcnosti vyskytoval, už sme zaviedli ďalšie bezpečnostné opatrenia týkajúce sa nástrojov, politík a procesov a oznámili sme plány na začatie protokolovania transparentnosti certifikátov všetkých certifikátov,“ uvádza sa vo vyhlásení. „Okrem rozšírenia rozsahu nášho ročného auditu sme na vyhodnotenie nášho prístupu prizvali aj nezávislú tretiu stranu.“
