Symantec is een van de grootste certificeringsinstanties die er zijn, dus het was nogal een probleem toen hun dochteronderneming CA Thawte kreeg betrapt bij het uitgeven van enkele verdachte SSL-certificaten.
Erger nog: deze waren uitgebreide validatie (EV) -certificaten afgegeven aan een onbezonnen jonge startup waarvan je misschien wel eens hebt gehoord Kopen Google Reviews.
Tot eer van Symantec, hoofden deed rol en corrigerende maatregelen was genomen - maar in een schoolvoorbeeld van hoe inbreuken op de beveiliging zijn altijd erger dan eerst werd gemeld, was het "kleine aantal" frauduleuze certificaten die in hun intern onderzoek werden gevonden, een paar machten van tien.
Google lijkt een mijt ergeren, mede omdat de (veel) groter aantal frauduleuze certificaten was opgegraven door Google zelf, en alleen na Symantec's alles gedaan, niets te zien rapport werd uitgebracht. Alleen hun eigen gebruiken Certificaattransparantie (CT) logs en minimaal beenwerk waar het aantal uit is gestegen 23 certificaten afgegeven voor drie domeinen naar enkele duizenden uitgegeven voor 76 bestaande domeinen, of (vaker) naar domeinen die niet echt bestaan.
Google vraagt het nu aan Symantec Waarom precies misten ze meer dan 99 procent van deze malafide certificaten bij hun eerste interne audit, en suggereerden ze ook dat ze misschien wat externe auditors zouden willen inschakelen om opnieuw te beoordelen wat er mis ging en waar.
Vanaf 1 juni 2016 zullen ze ook alle Symantec-certificaten nodig hebben om CT te ondersteunen, terwijl ze onheilspellend opmerken dat ze "verdere actie kunnen ondernemen als er aanvullende informatie beschikbaar komt".
Afbeelding: "Olympe gutsen" door Mettais - Mettais. Gelicentieerd onder Public Domain via Wikimedia Commons
