Google ar putea pune la îndoială o treime din certificatele de securitate
După ultimul incident ce privește emiterea de certificate de securitate, Google spune că și-a pierdut încrederea în Symantec.
Conform unei cercetări din 2015 a Netcraft, Symantec este responsabilă pentru unul din trei certificate SSL care sunt folosite pe internet, fiind cel mai mai mare emițător de certificate de securitate din lume. Ca urmarea a achizițiilor din ani anteriori, compania se ocupă și de certificatele unor autori care înainte erau independenți: VeriSign, GeoTrust, Thawte și RapidSSL, scrie csoonline.com.
Certificatele SSL/TSL sunt folosite pentru a cripta conexiunile între browsere și site-urile care folosesc HTTPS și verifică și că utilizatorii vizitează site-ul web care trebuie, nu o versiune falsificată. Aceste certificate sunt emise de autorități de certificare care au încrederea browserelor și sistemelor de operare.
Procesul de emitere și administrare a certificatelor este condus de Forumul CA/Browser, o organizație ai căror membrii includ producători de browsere și autorități de certificare. Când aceste reguli sunt încălcate, producătorii de browsere și sisteme de operare pot retrage încrederea în certificatele respective și pot sancționa autoritățile de certificare.
Google spune că o investigație a unui incident recent indică că Symantec nu a susținut practicile de securitate așteptate din partea autorităților de certificare. Printre aceste practici se numără validarea domeniului de control, verificarea jurnalelor de audit pentru descoperirea dovezilor de emitere neautorizată și minimizarea posibilității de emitere a certificatelor în mod fraudulos.
În 2012, Google a lansat sistemul Certificate Transparency, creat pentru a descoperi entitățile (Certificate Authorities, sau CA) corupte care oferă certificate SSL pentru site-uri, scrie playtech.ro.
Cei de la Google au descoperit că Symantec a eliberat peste 30.000 de certificate nesigure.
Symantec este una dintre cele mai mari companii de securitate din lume și a fost declarată prea nesigură pentru a mai fi inclusă pe ”lista albă” a browserelor. Decizia celor de la Google are efect imediat, iar certificatele de securitate emise de Symantec nu vor mai beneficia de statutul de ”validare extinsă” (cel mai înalt statut de securitate care poate veni din partea unui browser), dar acesta este doar începutul.
De acum, Google Chrome va reduce treptat încrederea în certificatele Symantec, pe parcursul următorilor ani. Symantec emite mai bine de 30% din certificatele de pe internet. De asemenea, acestea reprezintă 42% dintre certificatele pe care un utilizator de Firefox le întâlnește, de-a lungul unei sesiuni obișnuite de browsing.
