Symantec es uno de los mayores autoridades de certificación por ahí, así que fue un gran problema cuando su filial CA Thawte consiguió atrapado emitiendo algunos certificados SSL sospechosos.
Peor aún: estos eran extended validación (EV) certificados emitidos a una empresa joven y descarada de la que quizás haya oído hablar Google.
Para crédito de Symantec, jefes sí logró rollo y acción correctiva fue tomado, pero en un ejemplo de libro de texto de cómo se hacerlo peor de lo que se informó en un principio, el "pequeño número" de certificados fraudulentos encontrados en su investigación interna estaba desviado por un par de poderes de diez.
Google parece un poco molesto, en parte porque (mucho más) mayor número de certificados falsos fue descubierto por Google ellos mismos, y solo después de De Symantec informe completo, nada que ver aquí fue lanzado. Usando solo los suyos Transparencia de certificado (CT) registros y trabajo de campo mínimo, el número se disparó desde 23 certificados emitidos para tres dominios a varios miles emitidos para 76 dominios existentes, o (más a menudo) a dominios que en realidad no existen.
Google ahora le pregunta a Symantec porque exactamente se perdieron más del 99 por ciento de estos certificados fraudulentos en su primera auditoría interna, y también sugirieron que podrían querer traer algunos auditores externos para reevaluar qué salió mal y dónde.
También van a requerir que todos los certificados de Symantec sean compatibles con CT a partir del 1 de junio de 2016, al tiempo que señalan de manera inquietante que "pueden tomar más medidas a medida que haya información adicional disponible".
Imagen: “Olympe gouges” de Mettais - Mettais. Licencia bajo dominio público a través de Wikimedia Commons
