Google, Symantec tarafından yayınlanan SSL sertifikalarına karşı eylemi tehdit eden soruşturma sonrasında tehdit ediyor

Google, Symantec'in Symantec'in nasıl çalıştığına ilişkin bir soruşturma başlattığını düşündükten sonra, SSL işinin verdiği tüm sertifikaları açıklamasını istemektedir. çalışanlar, şirketin sahip olmadığı alan adları için SSL sertifikası verdiler.

Tarayıcı üreticisi, aynı zamanda, güvenlik firmasının, olayın nasıl araştırıldığına dair ayrıntılı bir analiz yayınlamasını istiyor.

Verisign'ın kimlik doğrulama iş biriminin 2010 yılında satın alınması yoluyla. Symantec, dünyanın en büyük sertifika yetkililerinden (CA) biri haline geldi. Bu tür kuruluşlar, çevrimiçi iletişimleri şifrelemek için kullanılan alan sahiplerine dijital sertifikalar vermek için tarayıcılar ve işletim sistemleri tarafından güvenilmektedir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Eylül ayında Google, Symantec, bilgisi olmadan google.com için bir ön sertifika vermişti. Daha da şaşırtıcı olan, bu sertifikanın Genişletilmiş Doğrulama (EV) olmasıydı ve bu nedenle, istekte bulunan tarafın kimliğinin ve alanın sahipliğinin kapsamlı bir şekilde doğrulanması gerekiyordu.

Google, Chrome tarayıcısının bir parçası olarak olayı keşfetti. Politikalar, tüm CA'ların bir Kamu Denetimi günlüğünde verdikleri EV sertifikalarını Sertifika Şeffaflığı (CT) adlı yeni bir protokolün parçası olarak ifşa etmelerini gerektirir.

Olaydan sonra Symantec, söz konusu sertifikaların ürün testi sırasında verildiğini belirledi. ve asla organizasyondan ayrılmadı. Ayrıca, iç politikaları takip edemeyen birçok çalışanı da kovdu.

Şirketin ilk araştırması, Google, Opera ve diğer üç isimsiz kuruluşa ait alan adları için 23 test sertifikasının çıkarıldığını belirledi.

Bununla birlikte, yalnızca " Birkaç dakika çalışma sürdü. Google, Symantec'in kaçırdığı ve şirketin iç denetiminin sonuçlarını sorgulayan ek yetkisiz sertifikalar bulabildi.

Yanıt olarak, Symantec soruşturmayı yeniden açtı ve yayınladığı ek bir 164 test sertifikası ortaya çıkardı. kayıtlı olmadığı 76 alan için ve kayıtlı olmayan alanlar için yayınlanan 2.458 sertifika için.

Google artık Symantec'i ilk denetim sırasında tüm sertifikaları tespit etmedeki başarısızlığını ayrıntılı bir şekilde analiz etmesini ve şirketin Mevcut endüstri politikalarının her bir ihlali için temel nedenleri açıklamak.

Tarayıcı üreticisi, Symantec'in yalnızca t Gelecekte CT oturumuna EV olanlar.

Google'ın bir blog gönderisinde Çarşamba günü yaptığı açıklamada, Google Chrome'un 1 Haziran 2016 ile başlayarak CT'yi desteklemeyen Symantec tarafından verilen sertifikalara ilişkin uyarıları görüntülemeye başlayabileceğini söyledi.

Olayla ilgili kendi raporuna göre, Symantec şimdiden tüm sertifikaları için bu yılın sonuna kadar BT'yi kullanmayı planlıyor.

“Herhangi bir kullanıcıya ya da kuruluşa herhangi bir zarara neden olduğuna dair bir kanıt yokken, Symantec temsilcisi Perşembe günü yapılan bir e-postada, bu ürün testi türünü korumak için kararlı olduğumuz politikalar ve standartlarla tutarlı değildi. “Bu test sertifikalarının hepsinin iptal edildiğini veya süresinin dolduğunu onayladık ve kara listeye alınmak için doğrudan tarayıcı topluluğuyla birlikte çalıştık” dedi.

Şirket, benzer olayların meydana gelmesini önlemek için halihazırda ek araçlar, politikalar ve prosedürler koydu. Gelecekte ve onların etkinliğini değerlendirmek için bir üçüncü tarafla bağlantı kurduğunu belirtti, dedi.

Ancak, Google, Symantec'in sözünü almaya hazır değil. Şirketin, test sertifikalarıyla ilişkili özel anahtarların Symantec çalışanlarına maruz kalmadığı, bu çalışanların kontrol ettikleri özel anahtarlarla sertifika üretemedikleri ve Symantec'in denetiminin yapılmadığı yönündeki iddialarını doğrulamak için şirketin üçüncü taraf güvenlik denetimine girmesini istiyor. kayıtlar, kurcalamaya karşı makul ölçüde korunmuştur.