guteksk7 / Shutterstock Google je postavil ultimat za Symantec - bodite popolnoma pregledni glede izdaje vaših varnostnih potrdil ali spletna mesta, ki uporabljajo potrdila Symantec, bodo v brskalniku Google Chrome ocenjena kot nevarna.
Septembra je Symantec v poročilu razkril, da je odpustil številne zaposlene zaradi izdaje nepooblaščenih potrdil TSL za domenska imena podjetjem, ki jih niso imela v lasti.
To je pomenilo, da bi jih lahko uporabili za kopiranje spletnih mest, zaščitenih s HTTPS, vključno z Googlovimi. Kiber kriminalci bi lahko s certifikati lažno predstavljali zelo ugledna spletna mesta in ostali neopaženi.
Sprva je Symantec dejal, da je bilo izdanih 23 potrdil, vendar je Google tej številki oporekal in dejal, da je veliko višja. Po nadaljnjem pregledu je Symantec dejal, da obstaja še 164 potrdil nad 76 domen in 2.458 potrdil za domene, ki še niso registrirane.
V objavi v blogu je Googlov Ryan Sleevi pozval k objavi in preglednosti podrobnosti preiskave Symanteca, da bi razumel, zakaj je bilo število izdanih potrdil podcenjeno. To vključuje podrobne informacije o tem, kako bo podjetje preprečilo, da bi se to ponovilo, in kakšne bodo njegove metode.
Sleevi je tudi pozval Symantec, naj zagotovi, da bodo vsa potrdila SSL od 1. junija 2016 izdana v skladu s preglednostjo certifikatov, dnevnikom javne revizije.
"Po tem datumu lahko potrdila, ki jih je Symantec na novo izdal in niso v skladu s pravilnikom o preglednosti potrdil Chromium, pri uporabi v Googlovih izdelkih povzročijo vrinjene oglase ali druge težave," je zapisal Sleevi.
Če Symantec in morebitni drugi izdajatelj potrdil ne upošteva teh smernic, tvega, da bodo njegova potrdila SSL označena kot nevarna ali nezaščitena, kar bi poslalo slabo sporočilo vsakemu uporabniku, ki poskuša dostopati do spletnih mest, ki jih uporabljajo prek Chroma.
Kot odgovor je Symantec dejal, da je težavo povzročila napaka pri testiranju. Navedla je, da je zadevna potrdila razveljavila in uvrstila na črni seznam, ter navedla, da nobenim uporabnikom ali organizacijam ni bila povzročena škoda.
"Da bi preprečili tovrstno testiranje v prihodnosti, smo že uvedli dodatna varovala za orodja, politike in procese ter napovedali načrte za začetek beleženja preglednosti potrdil vseh potrdil," je zapisano v izjavi. "Poleg tega smo razširili obseg naše letne revizije, da ocenimo naš pristop tudi neodvisno tretjo stran."
