Google удалит корневой сертификат Symantec из своих продуктов

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 15 дек 2015.

  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    Компания Google сообщила, что в самое ближайшее время изымет из Chrome, Android и прочих продуктов корневой сертификат компании Symantec. Представители Google утверждают, что этот шаг вызван стремлением обезопасить пользователей, так как неясно, для чего Symantec использует данный сертификат.
    1 декабря 2015 года компания Symantec прервала действие корневого сертификата VeriSign G1 (Class 3 Public Primary CA), который ранее использовался для подписания публичного кода и работы с TLS/SSL сертификатами. Хотя компания уведомила Google о том, что в дальнейшем этот корневой сертификат еще планируют использовать, Symantec отказалась объяснять, как именно он будет применяться и с какими целями. В результате служба безопасности Google приняла решение не поддерживать сертификат вовсе и удалить из списка надежных. Инженер компании Райн Сливи (Ryan Sleevi) поясняет в блоге, что VeriSign G1 более не соответствует требованиям CA/Browser Forum Baseline Requirements.
    Symantec, в освою очередь, отмечает, что остановка работы сертификата полностью соответствует нормам CA/Browser Forum Baseline Requirements. Представители компании уверяют, что делают такое не в первый раз, но никогда ранее уведомление разработчиков браузеров об очередном неработающем корневом сертификате не приводило к таким последствиям.
    Компания предупреждает пользователей, что их браузеры вскоре могут перестать поддерживать сертификат, что может привести к возникновению ошибок. Тем не менее, Сливи пишет, что представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.
    Впервые претензии к Symantec возникли у Google в октябре 2015 года, после инцидента с публикацией фальшивых SSL-сертификатов с расширенной проверкой для доменов google.com и www.google.com. Тогда представители Symantec извинялись, уверяли, что произошла ошибка, а сертификаты были созданы исключительно в мирных, исследовательских целях. Дальнейшее расследование показало, что компания обнародовала 23 тестовых сертификата, из которых 6 затрагивали домены Google, а еще 7 домены Opera. Впоследствии удалось выявить еще 164 сертификата, покрывающих 76 доменов. Более того, оказалось, что Symantec использовала свыше 2400 сертификатов для незарегистрированных доменов, хотя такая практика была отменена еще в апреле 2014 года.
    Хотя тогда представители Symantec утверждали, что тестовые сертификаты не могли представлять никакого риска для пользователей, в Google посчитали иначе и порекомендовали Symantec поработать над безопасностью в данной области.
    Сейчас, в ситуации с корневым сертификатом VeriSign G1, представители Symantec считают, что Google раздувает из мухи слона, но подчеркивают, что этот инцидент никак не связан с октябрьскими событиями.
     
    Kиpилл, orderman и Heler нравится это.

Поделиться этой страницей