guteksk7 / Shutterstock Η Google έχει θεσπίσει ένα τελεσίγραφο για τη Symantec - να είναι απόλυτα διαφανής σχετικά με την έκδοση των πιστοποιητικών ασφαλείας ή ιστότοπους που χρησιμοποιούν πιστοποιητικά Symantec θα θεωρούνται μη ασφαλείς από το Google Chrome.
Τον Σεπτέμβριο, η Symantec αποκάλυψε σε μια αναφορά ότι είχε απολύσει έναν αριθμό υπαλλήλων για την έκδοση μη εξουσιοδοτημένων πιστοποιητικών TSL για ονόματα τομέα σε εταιρείες που δεν τους κατέχουν.
Αυτό σήμαινε ότι θα μπορούσαν να χρησιμοποιηθούν για την αντιγραφή ιστοτόπων που προστατεύονται από HTTPS, συμπεριλαμβανομένων αυτών των Google. Οι εγκληματίες του κυβερνοχώρου θα μπορούσαν να χρησιμοποιήσουν τα πιστοποιητικά για την πλαστοπροσωπία ιστότοπων με υψηλή φήμη και να μην εντοπιστούν.
Αρχικά, η Symantec είπε ότι εκδόθηκαν 23 πιστοποιητικά, αλλά η Google αμφισβήτησε αυτόν τον αριθμό, λέγοντας ότι είναι πολύ υψηλότερος. Μετά από περαιτέρω εξέταση, η Symantec είπε ότι υπήρχαν άλλα 164 πιστοποιητικά σε 76 τομείς και 2.458 πιστοποιητικά για τομείς που δεν έχουν εγγραφεί ακόμη.
Σε μια ανάρτηση ιστολογίου, ο Ryan Sleevi της Google ζήτησε τη δημοσιοποίηση και τη διαφάνεια των λεπτομερειών της έρευνας της Symantec, προκειμένου να κατανοηθεί γιατί υπολογίστηκε ο αριθμός των εκδοθέντων πιστοποιητικών. Αυτό περιλαμβάνει λεπτομερείς πληροφορίες σχετικά με τον τρόπο με τον οποίο η εταιρεία θα το αποτρέψει να συμβεί ξανά, καθώς και ποιες θα είναι οι μέθοδοι της.
Η Sleevi ζήτησε επίσης από τη Symantec να διασφαλίσει ότι όλα τα πιστοποιητικά SSL, από την 1η Ιουνίου 2016, εκδίδονται σύμφωνα με το Certificate Transparency, ένα δημόσιο αρχείο ελέγχου.
"Μετά από αυτήν την ημερομηνία, πιστοποιητικά που εκδόθηκαν πρόσφατα από τη Symantec και δεν συμμορφώνονται με την πολιτική διαφάνειας πιστοποιητικών Chromium ενδέχεται να οδηγήσουν σε παρενθετικές διαφημίσεις ή άλλα προβλήματα όταν χρησιμοποιούνται σε προϊόντα Google", έγραψε ο Sleevi.
Εάν η Symantec, και πιθανώς οποιοσδήποτε άλλος εκδότης πιστοποιητικών, δεν ακολουθήσει αυτές τις οδηγίες, διατρέχει τον κίνδυνο να επισημανθούν τα πιστοποιητικά SSL ως μη ασφαλή ή μη ασφαλή, γεγονός που θα έστελνε ένα κακό μήνυμα σε οποιονδήποτε χρήστη προσπαθούσε να αποκτήσει πρόσβαση σε ιστότοπους που τους χρησιμοποιούν μέσω του Chrome.
Σε απάντηση, η Symantec είπε ότι το πρόβλημα προκλήθηκε από σφάλμα δοκιμής. Δηλώνει ότι έχει ανακαλέσει και μαύρη λίστα των εν λόγω πιστοποιητικών και είπε ότι δεν έχει προκληθεί ζημιά σε κανέναν χρήστη ή οργανισμό.
«Για να αποτρέψουμε την εμφάνιση αυτού του τύπου δοκιμών στο μέλλον, έχουμε ήδη θέσει σε εφαρμογή πρόσθετα εργαλεία προστασίας, πολιτικής και διαδικασίας και ανακοινώσαμε σχέδια για έναρξη της καταγραφής διαφάνειας πιστοποιητικών όλων των πιστοποιητικών», δήλωσε η δήλωση. "Έχουμε δεσμεύσει επίσης ένα ανεξάρτητο τρίτο μέρος για να αξιολογήσουμε την προσέγγισή μας, εκτός από την επέκταση του πεδίου του ετήσιου ελέγχου μας."
