Google не довольна аудитом Symantec по поводу нелегитимных SSL-сертификатов

image

Теги: Google, Symantec, SSL-сертификат

Было пропущено 2458 сертификатов для незарегистрированных доменных имен.

Руководство Google хочет, чтобы Symantec обнародовала все выданные SSL-сертификаты, так как техногигант считает, что расследование по поводу выдачи сотрудниками компании нелегитимных SSL-сертификатов для доменных имен, которые не принадлежат Symantec, прошло не так как следует. Google также требует, чтобы Symantec опубликовала подробный анализ того, как инцидент был расследован.

Напомним , в сентябре текущего года в рамках проекта Certificate Transparency по поиску используемых поддельных SSL-сертификатов инженеры Google обнаружили выданные компанией Symantec фальшивые сертификаты Google.com. В Symantec заявили, что причиной ошибки стал человеческий фактор. Проблема возникла из-за ошибки во время внутреннего тестирования. Поскольку сертификаты были действительными лишь один день, представители Google и Symantec уверены, что злоумышленники не успели ими воспользоваться. Сотрудники из-за которых возникли проблемы были незамедлительно уволены.

В ходе предварительного расследования выяснилось, что было выпущено 23 сертификата для доменных имен, принадлежащих Google, Opera и трем другим неназванным организациям. Специалистам Google удалось обнаружить еще несколько пропущенных Symantec сертификатов, что поставило под сомнение результаты внутреннего аудита компании.

Новое расследование Symantec показало, что было пропущено 164 сертификата, выпущенных для 76 доменных имен, которые не принадлежат компании, и 2458 сертификатов для незарегистрированных доменных имен.

В настоящее время Google требует у Symantec публикации всех подробностей проведенного расследования, причин, почему возникли проблемы, и как были пропущены сертификаты. Техногигант хочет, чтобы к аудиту компании были вовлечены сторонние специалисты безопасности. В случае невыполнения требований, начиная с 1 июня 2016 года, Google Chrome может начать отображать предупреждения по поводу выданных Symantec сертификатов, которые не поддерживают Certificate Transparency (CT). Symantec планирует добавить поддержку CT до конца текущего года.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.