Symantec adalah salah satu otoritas sertifikat terbesar di luar sana, jadi itu adalah masalah besar ketika anak perusahaan mereka CA Thawte mendapatkannya tertangkap mengeluarkan beberapa tersangka sertifikat SSL.
Lebih buruk lagi: ini adalah validasi diperpanjang (EV) sertifikat yang dikeluarkan untuk startup muda kurang ajar yang mungkin pernah Anda dengar namanya Google.
Untuk kredit Symantec, kepala melakukan roll dan tindakan perbaikan adalah diambil - tetapi dalam contoh buku teks tentang bagaimana pelanggaran keamanan selalu lebih buruk dari yang pertama kali dilaporkan, "sejumlah kecil" sertifikat nakal yang ditemukan dalam penyelidikan internal mereka dibatalkan oleh sepasang kekuatan sepuluh.
Google sepertinya tungau jengkel, sebagian karena (banyak) jumlah sertifikat jahat lebih banyak digali oleh Google sendiri, dan hanya setelah Symantec laporan lengkap, tidak ada yang bisa dilihat di sini sudah diterbitkan. Hanya menggunakan milik mereka sendiri Transparansi Sertifikat (CT) log dan kerja keras minimal yang membuat nomor menggelembung 23 sertifikat diterbitkan untuk tiga domain untuk beberapa ribu dikeluarkan untuk 76 domain yang ada, atau (lebih sering) ke domain yang sebenarnya tidak ada.
Google sekarang meminta Symantec mengapa tepatnya mereka melewatkan lebih dari 99 persen sertifikat nakal ini dalam audit internal pertama mereka, dan juga menyarankan bahwa mereka mungkin ingin membawa beberapa auditor luar untuk menilai kembali apa yang salah dan di mana.
Mereka juga akan mewajibkan semua sertifikat Symantec untuk mendukung CT mulai 1 Juni 2016, sambil mencatat bahwa mereka "dapat mengambil tindakan lebih lanjut saat informasi tambahan tersedia".
Gambar: "Olympe gouges" oleh Mettais - Mettais. Dilisensikan di bawah Domain Publik melalui Wikimedia Commons
