Symantec отозвала ряд ошибочных SSL-сертификатов

Компания Symantec была вынуждена отозвать ряд цифровых сертификатов. Причиной послужило обнаружение исследователем безопасности множества подозрительных сертификатов.

Как сообщил в субботу, 21 января, менеджер по продукции Symantec Стив Медин (Steve Medin), спорные сертификаты были выпущены одним из партнеров компании. В целях предотвратить дальнейший выпуск, Symantec на время ограничила привилегии данного партнера.

Ранее основатель SSLMate Эндрю Айер (Andrew Ayer) обнаружил около ста SSL-сертификатов, предположительно выпущенных Symantec по ошибке и нарушающих принцип работы браузера. Некоторые сертификаты подключались к домену example.com, а в других содержалось слово test.

Как сообщил Айер изданию Ars Technica, поскольку Chrome не проверяет незамедлительно на предмет отзыва сертификатов, они по-прежнему могут использоваться в атаках. Кроме того, злоумышленники могут препятствовать подключению браузера к отозвавшему сертификаты серверу.

Напомним, в 2015 году Symantec оказалась в центре скандала, когда ее дочерняя компания Thawte выпустила поддельные сертификаты для нескольких доменов Google. Проблема возникла во время внутреннего тестирования, и ответственные за ошибку сотрудники компании были уволены.