Po aferze związanej z certyfikatami Google dyktuje swoje warunki, Symantec musi się dostosować
Obecnie stosowany system certyfikacji i podziału na urzędy się tym zajmujące działa od wielu lat, ale nie oznacza to, że nie posiada on żadnych słabości. Najczęściej za błędy odpowiadają ludzie, o czym przekonał się Symantec. Naruszenia, do jakich doszło w tej firmie, spowodowały ostrą reakcję Google – korporacja zagroziła odrzucaniem certyfikatów Symanteca w przeglądarce Chrome.
29.10.2015 12:57
Początkowo mogłoby się wydawać, że twórcy najpopularniejszej przeglądarki świata wykorzystują swoją uprzywilejowaną pozycję i stawiają pod ścianą producenta oprogramowania zabezpieczającego. Takie agresywne działanie ma jednak swoje powody, bo we wrześniu doszło to istotnego naruszenia bezpieczeństwa: pracownicy Symantaca wystawili nieautoryzowane certyfikaty umożliwiające m.in. podsłuchiwanie niektórych stron Google korzystających z HTTPS. Firma zwolniła kilku pracowników, ale nie był to koniec tej sprawy.
Właściciele marki Norton pierwotnie stwierdzili, że wystawiono łącznie bez zgody właścicieli 23 certyfikaty dla domen Google, przeglądarki Opera, a także trzech innych organizacji. Google takie wytłumaczenie zakwestionowało i dalsze badania pokazały, że wystawiono także 164 inne certyfikaty dla 76 domen istniejących, a także 2458 certyfikatów dla domen, które nie były nigdy zarejestrowane. Ta druga grupa stanowi ogromne zagrożenie, bo cyberprzestępcy mogą następnie zarejestrować adresy i wykorzystywać je do przeprowadzania ataków różnego typu: ruch początkowo nie będzie budził żadnych zastrzeżeń, certyfikaty zostały bowiem wystawione przez zaufany urząd.
Sytuacjom takim ja ta ma zapobiec projekt Certificate Transparency uruchomiony w ramach Chromium. Zakłada on rejestrację informacji o wystawianych certyfikatach, ale jak na razie dotyczy tylko tych typu Extended Validation (EV), gdzie dokładnie weryfikowana jest organizacja, jaka ma go otrzymać. Tego typu certyfikaty stosuje się w krytycznych miejscach wymagających największego bezpieczeństwa. Google chce to jednak zmienić i od 1 czerwca 2016 będzie wymagać rejestrowania danych o wszystkich certyfikatach. To pozwoli na znacznie szybsze reagowanie w przypadku jakichkolwiek nadużyć i problemów.
Decyzja taka uderza w Symantaca: jeżeli nie dostosuje się on do warunków stawianych przez Google, przeglądarka Chrome będzie wyświetlać ostrzeżenia na stronach korzystających z certyfikatów wystawionych przez tę firmę. Oprócz tego korporacja wymaga zaangażowania zewnętrznej firmy do przeprowadzenia audytu bezpieczeństwa i dokładnej analizy mechanizmów działania w Symantec. Oznacza to oczywiście zwiększenie kosztów działania i z pewnością uderzy po kieszeni twórców Nortona. W tym przypadku nie ma jednak miejsca na kompromisy i lekkie traktowanie: utrata zaufania przez klientów kupujących certyfikaty i możliwość dokonania ataków na internautów to straty znacznie większe.
Swoim krokiem Google pokazuje, że jeżeli jakieś z firm wydających certyfikaty nie dostosują się do wymogów związanych z bezpieczeństwem, czekają je niezwykle bolesne konsekwencje. Popularność Chrome powoduje, że firma może dyktować takie warunki – ma również prawo do obrony bezpieczeństwa własnych użytkowników, a wystawione certyfikaty mogły uderzyć właśnie w nich.