Symantec по ошибке выпустила поддельные SSL-сертификаты Google

image

Теги: SSL-сертификат, Google, Symantec

Ответственные за ошибку сотрудники Symantec были уволены из компании.

На прошлой неделе в рамках проекта Certificate Transparency по поиску используемых поддельных SSL-сертификатов инженеры Google обнаружили выданные компанией Symantec фальшивые сертификаты Google.com.

«14 сентября принадлежащий Symantec центр сертификации Thawte выпустил предварительный сертификат с расширенной проверкой для доменов google.com и www.google.com. Эти предварительные сертификаты не являются запрошенными или одобренными Google. […] В ходе обсуждения с Symantec мы выяснили, что проблема возникла из-за ошибки во время внутреннего тестирования», - сообщили представители Google.

«Расширенная проверка» означает, что Symantec проделала большую работу с целью подтвердить, что сертификаты действительно являются официальными и подлинными.  

В Symantec заявили, что причиной ошибки стал человеческий фактор: «Мы обнаружили, что несколько выдающихся сотрудников, которые успешно прошли наши тренинги по безопасности, не выполнили установленные правила. Несмотря на их хорошие намерения, несоблюдение правил привело к тому, что после тщательного рассмотрения дела они были уволены».

Google добавила нелегитимные сертификаты в черный список. Поскольку они были действительными лишь один день, представители Google и Symantec уверены, что злоумышленники не успели воспользоваться этими сертификатами.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.