Symantec er en av største sertifikatmyndigheter der ute, så det var litt av en stor sak da datterselskapet CA Thawte fikk det fanget utstede noen mistenkte SSL-serier.
Verre ennå: disse var det utvidet validering (EV) sertifikater utstedt til en knall ung oppstart du kanskje har hørt om navngitt Google.
Til Symantecs kreditt, hoder gjorde rulle og utbedring var tatt - men i et lærebokeksempel på hvordan sikkerhetsbrudd er alltid verre enn først rapportert, var det “lille antallet” useriøse serier som ble funnet i deres interne etterforskning, av et par makter på ti.
Google virker kvalmende, delvis fordi (mye) større antall useriøse sertifikater var avdekket av Google selv, og bare etter Symantecs alt gjort, ingenting å se-her-rapporten var utgitt. Bruker bare sine egne Sertifikatgjennomsiktighet (CT) tømmerstokker og minimalt med beinarbeid som antallet ballonerte fra 23 sertifikater utstedt for tre domener til flere tusen utstedt for 76 eksisterende domener, eller (oftere) til domener som faktisk ikke eksisterer.
Google spør nå Symantec hvorfor nøyaktig de savnet over 99 prosent av disse useriøse seriene i sin første interne revisjon, og antydet også at de kanskje ville hente inn noen eksterne revisorer for å vurdere på nytt hva som gikk galt og hvor.
De kommer også til å kreve at alle Symantec-sertifikater støtter CT fra 1. juni 2016, mens de illevarslende bemerker at de “kan iverksette ytterligere tiltak når ytterligere informasjon blir tilgjengelig”.
Bilde: “Olympe gouges” av Mettais - Mettais. Lisensiert under Public Domain via Wikimedia Commons
