シマンテックは、 そこに最大の認証局なので、子会社のCA Thawteが 一部の疑わしいSSL証明書の発行をキャッチ.
さらに悪いことに:これらは 拡張検証 (EV)あなたが名前を聞いたことがあるかもしれない生意気な若いスタートアップに発行された証明書 グーグル.
ノートンライフロックの名誉のために、 した ロールおよび修復アクション ました 取られた–しかし、セキュリティ違反がどのようにあるかの教科書の例で 常に 最初に報告されたよりも悪いことに、内部調査で見つかった「少数の」不正な証明書は、XNUMXのXNUMX乗でずれていました。
グーグルはダニを苛立たせているように見えるずっと)より多くの不正な証明書が Google自身が発掘、そしてのみ After ノートンライフロック すべて完了した、何も表示されないレポート 解放された。 自分だけを使う 証明書の透明性 (CT)ログと最小限のレッグワークから膨らんだ数 23つのドメインに対して発行されたXNUMXの証明書 〜へ 76の既存のドメインに対して数千が発行されました、または(より頻繁に) 実際には存在しないドメインへ.
Googleは今Symantecに尋ねています なぜ 正確には、最初の内部監査でこれらの不正な証明書の99%以上を見逃しており、何がどこで問題があったのかを再評価するために外部監査人を連れてくることを提案しています。
また、1年2016月XNUMX日の時点で、すべてのSymantec証明書がCTをサポートすることを要求する予定ですが、「追加情報が利用可能になったときにさらにアクションを実行する可能性がある」と不吉に述べています。
画像:Mettais –Mettaisによる「オランプドグージュ」。 パブリックドメインでライセンス供与 ウィキメディア·コモンズ