guteksk7 / Shutterstock Google stanovil ultimátum pro společnost Symantec - buďte zcela transparentní ohledně vydávání vašich bezpečnostních certifikátů nebo weby, které používají certifikáty Symantec, budou Google Chrome považovat za nebezpečné.
V září společnost Symantec ve zprávě odhalila, že propustila řadu zaměstnanců za vydávání neautorizovaných certifikátů TSL pro názvy domén společnostem, které je nevlastní.
To znamenalo, že mohly být použity ke kopírování webů chráněných HTTPS, včetně webů Google. Kybernetičtí zločinci by mohli pomocí certifikátů vydávat se za vysoce renomované weby a zůstat nezjištěni.
Společnost Symantec původně uvedla, že bylo vydáno 23 certifikátů, ale Google toto číslo zpochybnil a uvedl, že je mnohem vyšší. Po dalším zkoumání společnost Symantec uvedla, že v doménách, které ještě nejsou zaregistrovány, existuje dalších 164 certifikátů ve více než 76 doménách a 2 458 certifikátů.
Ryan Sleevi z Googlu v příspěvku na blogu vyzval k zveřejnění a transparentnosti podrobností vyšetřování společnosti Symantec, aby pochopil, proč byl počet vydaných certifikátů podhodnocen. To zahrnuje podrobné informace o tom, jak společnost zabrání tomu, aby se to opakovalo, a jaké budou její metody.
Sleevi také vyzval společnost Symantec, aby zajistila, že všechny certifikáty SSL budou od 1. června 2016 vydávány v souladu s veřejným protokolem auditu Certificate Transparency.
„Po tomto datu mohou certifikáty nově vydané společností Symantec, které neodpovídají zásadám transparentnosti certifikátů chromu, vést při používání ve službách Google k vsunutým reklamám nebo jiným problémům,“ napsal Sleevi.
Pokud společnost Symantec a případně jakýkoli jiný vydavatel certifikátu tyto pokyny nedodrží, riskuje, že jeho certifikáty SSL budou označeny jako nebezpečné nebo nezabezpečené, což by každému uživateli, který se pokouší o přístup k webům pomocí prohlížeče Chrome, poslal špatnou zprávu.
V reakci na to společnost Symantec uvedla, že problém byl způsoben chybou při testování. Uvedla, že zrušila a uvedla na černé listině dotyčné certifikáty, a uvedla, že nedošlo k žádné újmě způsobené žádným uživatelům nebo organizacím.
„Abychom v budoucnu zabránili tomuto typu testování, zavedli jsme již další nástroje, zásady a procesní záruky a oznámili jsme plány na zahájení protokolování transparentnosti certifikátů všech certifikátů,“ uvádí se v prohlášení. "Kromě rozšíření rozsahu našeho každoročního auditu jsme také k posouzení našeho přístupu najali nezávislou třetí stranu."
