Symantec هي واحدة من أكبر المراجع المصدقة هناك، لذلك كان نوعًا ما كبيرًا عندما حصلت شركة CA Thawte التابعة لها ضبط إصدار بعض شهادات SSL المشبوهة.
والأسوأ من ذلك: كانت هذه التحقق الموسع شهادات (EV) الصادرة إلى شركة ناشئة صغيرة قد تكون سمعت عنها شراء مراجعات جوجل.
إلى الائتمان سيمانتيك ، رؤساء فعل لفة والإجراءات العلاجية وكان مأخوذة - ولكن في مثال كتاب مدرسي عن كيفية حدوث انتهاكات أمنية دائما أسوأ مما تم الإبلاغ عنه في البداية ، "العدد الصغير" من الشهادات المارقة التي تم العثور عليها في تحقيقهم الداخلي تم إيقافه من قبل بضع قوى من عشرة.
يبدو Google وكأنه سوس مزعج ، ويرجع ذلك جزئيًا إلى (كثيرا) كان عددًا أكبر من الشهادات المارقة تم اكتشافه بواسطة Google بأنفسهم، و فقط بعد سيمانتيك تقرير مكتمل ، لا شيء يمكن رؤيته هنا أصدرت. باستخدام فقط الخاصة بهم شفافية الشهادة سجلات (CT) والحد الأدنى من الإجراءات التي تم تضخيم الرقم منها تم إصدار 23 شهادة لثلاثة مجالات إلى تم إصدار عدة آلاف لـ 76 نطاقًا موجودًا، أو (في أغلب الأحيان) إلى مجالات غير موجودة بالفعل.
تسأل Google الآن شركة Symantec لماذا لقد فاتهم بالضبط أكثر من 99 بالمائة من هذه الشهادات المارقة في أول تدقيق داخلي لهم ، ويشيرون أيضًا إلى أنهم قد يرغبون في جلب بعض المدققين الخارجيين لإعادة تقييم الخطأ الذي حدث وأين.
سيطلبون أيضًا من جميع شهادات Symantec دعم CT اعتبارًا من 1 يونيو 2016 ، مع الإشارة بشكل ينذر بالسوء إلى أنهم "قد يتخذون مزيدًا من الإجراءات عندما تتوفر معلومات إضافية".
صورة: "Olympe gouges" لميتيس - ميتيس. مرخصة بموجب المجال العام عبر ويكيميديا كومنز
