Symantec jest jednym z największe tam ośrodki certyfikacji, więc to była wielka sprawa, kiedy dostała ich spółka zależna CA Thawte złapany na wydawaniu podejrzanych certyfikatów SSL.
Gorzej: to były rozszerzona walidacja (EV) certyfikaty wydane dla zuchwałego młodego startupu, o którym mogłeś słyszeć o nazwie Google.
Na uznanie Symantec, głosi zrobił rzut i działanie naprawcze była wzięte - ale w podręczniku na przykładzie naruszeń bezpieczeństwa zawsze gorzej niż na początku donoszono, „niewielka liczba” nieuczciwych certyfikowanych znalezionych w ich wewnętrznym dochodzeniu zmniejszyła się o kilka uprawnień po dziesięć.
Google wydaje się rozdrażniony, częściowo dlatego, że (dużo) była większa liczba nieuczciwych certyfikatów odkopane przez samych Google, i tylko po Symantec's gotowy raport, nic tu nie widać został wydany. Używając tylko własnych Przejrzystość certyfikatu (CT) logi i minimalna praca nóg, z której liczba wzrosła 23 certyfikaty wydane dla trzech domen do kilka tysięcy wydanych dla 76 istniejących domenlub (częściej) do domen, które w rzeczywistości nie istnieją.
Google pyta teraz firmę Symantec dlaczego dokładnie przegapili ponad 99 procent tych fałszywych certyfikatów podczas ich pierwszego audytu wewnętrznego, a także sugerowali, że mogliby chcieć sprowadzić zewnętrznych audytorów, aby ponownie ocenili, co poszło nie tak i gdzie.
Będą również wymagać wszystkich certyfikatów firmy Symantec do obsługi CT od 1 czerwca 2016 r., Ale złowieszczo zauważą, że „mogą podjąć dalsze działania, gdy pojawią się dodatkowe informacje”.
Zdjęcie: „Olympe dłuta” Mettais - Mettais. Licencjonowane w domenie publicznej za pośrednictwem Wikimedia Commons
