Symantec odpowiada Google na obniżenie wiarygodności certyfikatów SSL
W zeszłym tygodniu Google poinformowało o obniżeniu wiarygodności certyfikatów SSL wydawanych przez Symanteca i wyłączeniu dla nich EV SSL. W toku śledztwa odnaleziono 30 tys. certyfikatów, które zostały wydane z naruszeniem preferowanych przez Google standardów, a samemu Symantecowi zarzucono, że wystawia na niebezpieczeństwo użytkowników Chrome'a. Dziś producent Nortona opublikował nowe stanowisko w tej sprawie.
27.03.2017 | aktual.: 27.03.2017 11:24
Jest ono kierowane przede wszystkim do tych, którzy korzystają z certyfikatów Symanteca, jednak ze względu na poważne zarzuty Google, trzeba je także traktować jako list otwarty do twórców Chrome'a. Symantec ustosunkowuje się w nim do ustaleń Google, zarzucając korporacji wyolbrzymianie i wprowadzanie w błąd.
Nieprawdą ma być bowiem, że wydanych z naruszeniem standardów zostało 30 tys. certyfikatów SSl/TLS. Błędnie wydanych miało zostać tylko 127 wcześniej rozpoznanych certyfikatów, zaś wystawca nie odnotował w związku ze swoim błędem żadnych naruszeń bezpieczeństwa. Wzmocnione miały zostać także procedury weryfikacji klientów:
Z części informacyjnej komunikatu, skierowanej do klientów, nie sposób jednak odczytać nadziei na sukces w negocjacjach z Google. Symantec informuje jedynie, że uruchomi program wydawania kolejnych certyfikatów bezpłatnie, ważnych w okresie zdegradowanych przez Google poświadczeń. Zostaną one wydane w trybie przyśpieszonym, wykorzystując proponowany przez Google skrócony czas walidacji.
Symantec uspokaja także swoich klientów, informując, że certyfikaty rozszerzonej walidacji zostaną odrzucone tylko przez Chrome'a, co jednak w świetle pozycji przeglądarki Google, trudno traktować całkowicie poważnie.