Symantec ist einer der größte Zertifizierungsstelle da draußenEs war also eine große Sache, als ihre Tochter CA Thawte bekam beim Ausstellen verdächtiger SSL-Zertifikate erwischt.
Schlimmer noch: das waren erweiterte Validierung (EV) -Zertifikate, die an ein mutiges junges Startup ausgestellt wurden, von dem Sie vielleicht schon gehört haben Google.
Zu Symantecs Gunsten, Köpfe war Roll- und Abhilfemaßnahmen wurde genommen - aber in einem Lehrbuchbeispiel, wie Sicherheitsverletzungen sind immer Schlimmer als zuerst berichtet, war die „geringe Anzahl“ von Schurkenzertifikaten, die in ihren internen Ermittlungen gefunden wurden, um ein paar Zehnerpotenzen gesunken.
Google scheint eine Milbe verärgert zu sein, teilweise weil die (viel) größere Anzahl von Schurkenzertifikaten war von Google selbst ausgegraben, und nur nachdem Symantecs Alles erledigt, hier nichts zu sehen wurde veröffentlicht. Verwenden Sie nur ihre eigenen Zertifikatstransparenz (CT) Protokolle und minimale Beinarbeit die Zahl von Ballon aus 23 Zertifikate für drei Domains ausgestellt zu Mehrere Tausend wurden für 76 bestehende Domains ausgegebenoder (öfter) zu Domains, die eigentlich nicht existieren.
Google fragt jetzt Symantec warum Genau, sie haben bei ihrer ersten internen Revision über 99 Prozent dieser Schurkenzertifikate verpasst und auch vorgeschlagen, einige externe Prüfer hinzuzuziehen, um zu überprüfen, was wo schief gelaufen ist.
Ab dem 1. Juni 2016 müssen alle Symantec-Zertifikate CT unterstützen, wobei sie bedrohlich darauf hinweisen, dass sie „möglicherweise weitere Maßnahmen ergreifen, sobald zusätzliche Informationen verfügbar sind“.
Bild: „Olympe-Furchen“ von Mettais - Mettais. Lizenziert unter Public Domain über Wikimedia Commons
