Symantec est l'un des les plus grandes autorités de certification là-bas, donc c'était un gros problème quand leur filiale CA Thawte a obtenu attrapé l'émission de certificats SSL suspects.
Pire encore: c'étaient validation étendue (EV) certificats délivrés à une jeune startup effrontée dont vous avez peut-être entendu parler Google.
Au crédit de Symantec, les chefs fait roulis et mesures correctives était prise - mais dans un exemple classique de la façon dont les failles de sécurité sont toujours pire que ce qui avait été signalé initialement, le «petit nombre» de certificats frauduleux découverts dans leur enquête interne était détourné par quelques puissances de dix.
Google semble un acarien contrarié, en partie parce que le (beaucoup) un plus grand nombre de certificats dénichés par Google eux-mêmes, et seulement après Symantec rapport complet, rien à voir ici a été libéré. N'utilisant que les leurs Transparence du certificat (CT) journaux et travail de jambe minimal le nombre gonflé de 23 certificats émis pour trois domaines à plusieurs milliers émis pour 76 domaines existants, ou (plus souvent) à des domaines qui n'existent pas réellement.
Google demande maintenant à Symantec why exactement, ils ont manqué plus de 99% de ces certificats non autorisés lors de leur premier audit interne, et ils ont également suggéré qu'ils pourraient vouloir faire appel à des auditeurs externes pour réévaluer ce qui n'a pas fonctionné et où.
Ils vont également exiger que tous les certificats Symantec prennent en charge CT à partir du 1er juin 2016, tout en notant de façon inquiétante qu'ils «pourraient prendre d'autres mesures lorsque des informations supplémentaires seront disponibles».
Image: «Olympe gouges» par Mettais - Mettais. Sous licence du domaine public via Wikimedia Commons
