Symantec è uno dei le più grandi autorità di certificazione là fuori, quindi è stato un grosso problema quando ha ottenuto la sua controllata CA Thawte sorpreso a rilasciare alcuni certificati SSL sospetti.
Peggio ancora: questi erano validazione estesa (EV) certificati rilasciati a una giovane startup sfacciata di cui potresti aver sentito parlare Google.
A merito di Symantec, teste ha fatto rotolo e azione correttiva Prima preso, ma in un esempio da manuale di come sono le violazioni della sicurezza sempre peggio di quanto riportato per la prima volta, il "piccolo numero" di certificati canaglia trovati nella loro indagine interna era sceso di un paio di potenze di dieci.
Google sembra irritato, in parte perché il (molti) era un numero maggiore di certificati canaglia scoperto da Google stessi, e solo dopo Symantec's rapporto completo, niente da vedere qui è stato rilasciato. Usando solo i propri Trasparenza del certificato (CT) registri e lavoro minimo sulle gambe da cui il numero è aumentato 23 certificati rilasciati per tre domini a diverse migliaia emesse per 76 domini esistentio (più spesso) a domini che in realtà non esistono.
Google ora sta chiedendo a Symantec perché esattamente hanno perso oltre il 99 percento di questi certificati canaglia nel loro primo audit interno, e hanno anche suggerito che potrebbero voler coinvolgere alcuni revisori esterni per rivalutare cosa è andato storto e dove.
Richiederanno inoltre che tutti i certificati Symantec supportino CT a partire dal 1 ° giugno 2016, mentre notano minacciosamente che "potrebbero intraprendere ulteriori azioni non appena saranno disponibili ulteriori informazioni".
Immagine: “Olympe gouges” di Mettais - Mettais. Concesso in licenza in pubblico dominio tramite Wikimedia Commons
