Symantec отозвала ряд ошибочных SSL-сертификатов

Symantec отозвала ряд ошибочных SSL-сертификатов

Некоторые сертификаты подключались к домену example.com, а в других содержалось слово test.

Компания Symantec была вынуждена отозвать ряд цифровых сертификатов. Причиной послужило обнаружение исследователем безопасности множества подозрительных сертификатов.

Как сообщил в субботу, 21 января, менеджер по продукции Symantec Стив Медин (Steve Medin), спорные сертификаты были выпущены одним из партнеров компании. В целях предотвратить дальнейший выпуск, Symantec на время ограничила привилегии данного партнера.

Ранее основатель SSLMate Эндрю Айер (Andrew Ayer) обнаружил около ста SSL-сертификатов, предположительно выпущенных Symantec по ошибке и нарушающих принцип работы браузера. Некоторые сертификаты подключались к домену example.com, а в других содержалось слово test.

Как сообщил Айер изданию Ars Technica, поскольку Chrome не проверяет незамедлительно на предмет отзыва сертификатов, они по-прежнему могут использоваться в атаках. Кроме того, злоумышленники могут препятствовать подключению браузера к отозвавшему сертификаты серверу.

Напомним, в 2015 году Symantec оказалась в центре скандала, когда ее дочерняя компания Thawte выпустила поддельные сертификаты для нескольких доменов Google. Проблема возникла во время внутреннего тестирования, и ответственные за ошибку сотрудники компании были уволены.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!