Ответственные за ошибку сотрудники Symantec были уволены из компании.
На прошлой неделе в рамках проекта Certificate Transparency по поиску используемых поддельных SSL-сертификатов инженеры Google обнаружили выданные компанией Symantec фальшивые сертификаты Google.com.
«14 сентября принадлежащий Symantec центр сертификации Thawte выпустил предварительный сертификат с расширенной проверкой для доменов google.com и www.google.com. Эти предварительные сертификаты не являются запрошенными или одобренными Google. […] В ходе обсуждения с Symantec мы выяснили, что проблема возникла из-за ошибки во время внутреннего тестирования», - сообщили представители Google.
«Расширенная проверка» означает, что Symantec проделала большую работу с целью подтвердить, что сертификаты действительно являются официальными и подлинными.
В Symantec заявили, что причиной ошибки стал человеческий фактор: «Мы обнаружили, что несколько выдающихся сотрудников, которые успешно прошли наши тренинги по безопасности, не выполнили установленные правила. Несмотря на их хорошие намерения, несоблюдение правил привело к тому, что после тщательного рассмотрения дела они были уволены».
Google добавила нелегитимные сертификаты в черный список. Поскольку они были действительными лишь один день, представители Google и Symantec уверены, что злоумышленники не успели воспользоваться этими сертификатами.
Наш канал — питательная среда для вашего интеллекта