A Symantec é um dos maiores autoridades de certificação lá fora, então foi um grande negócio quando a subsidiária CA Thawte conseguiu pego emitindo alguns certificados SSL suspeitos.
Pior ainda: estes eram validação estendida (EV) emitidos para uma startup jovem e ousada da qual você já ouviu falar Google.
Para crédito da Symantec, chefia fez ação corretiva e preventiva foi tomadas - mas em um exemplo de livro de como as violações de segurança são sempre pior do que o primeiro relatado, o “pequeno número” de certs desonestos encontrados em sua investigação interna foi cancelado por duas potências de dez.
O Google parece um pouco vexado, em parte porque o (muito) maior número de materiais desonestos desenterrado pelo próprio Google, e somente depois de Da Symantec relatório completo, tudo para ver aqui foi liberado. Usando apenas os seus próprios Transparência do certificado (CT) logs e trabalho braçal mínimo, o número aumentou de 23 certificados emitidos para três domínios para milhares emitidos para 76 domínios existentes, ou (mais frequentemente) para domínios que realmente não existem.
O Google agora está perguntando à Symantec porque exatamente eles perderam mais de 99 por cento desses certificados desonestos em sua primeira auditoria interna, e também sugeriram que eles podem querer trazer alguns auditores externos para reavaliar o que deu errado e onde.
Eles também vão exigir que todos os certificados da Symantec suportem CT a partir de 1 ° de junho de 2016, embora observem de forma preocupante que eles “podem tomar outras providências assim que informações adicionais se tornarem disponíveis”.
Imagem: “gouges Olympe” por Mettais - Mettais. Licenciado em domínio público via Wikimedia Commons