Google teilt Symantec Secure HTTPS-Zertifikate oder andere mit

Wurde ich pwned Besitzer entdeckt 13 Millionen Klartext-Passwörter von kostenlosen Webhost durchgesickert ist ein sicheres Passwort sogar möglich wir guteksk7 / Shutterstock Google hat ein Ultimatum für Symantec gestellt - seien Sie vollständig transparent über die Ausstellung Ihrer Sicherheitszertifikate oder Websites, die Symantec-Zertifikate verwenden, werden von Google Chrome als unsicher eingestuft.

Im September gab Symantec in einem Bericht bekannt, dass eine Reihe von Mitarbeitern entlassen wurden, weil sie nicht autorisierte TSL-Zertifikate für Domainnamen an Unternehmen ausgestellt hatten, die diese nicht besaßen.

Dies bedeutete, dass sie verwendet werden konnten, um HTTPS-geschützte Websites, einschließlich der von Google, zu kopieren. Cyberkriminelle könnten die Zertifikate verwenden, um sich als hoch angesehene Websites auszugeben und unentdeckt zu bleiben.

Anfangs sagte Symantec, dass 23 Zertifikate ausgestellt wurden, aber Google hat diese Zahl bestritten und behauptet, sie sei viel höher. Nach einer weiteren Prüfung gab Symantec an, dass es weitere 164 Zertifikate über 76 Domains und 2.458 Zertifikate für noch nicht registrierte Domains gab.

In einem Blogbeitrag forderte Ryan Sleevi von Google, dass die Einzelheiten der Untersuchung von Symantec veröffentlicht und transparent gemacht werden, um zu verstehen, warum die Anzahl der ausgestellten Zertifikate unterschätzt wurde. Dies beinhaltet detaillierte Informationen darüber, wie das Unternehmen dies verhindern wird und wie seine Methoden aussehen werden.

Sleevi hat außerdem Symantec aufgefordert, sicherzustellen, dass alle SSL-Zertifikate ab dem 1. Juni 2016 gemäß Certificate Transparency, einem öffentlichen Prüfprotokoll, ausgestellt werden.

"Nach diesem Datum können von Symantec neu ausgestellte Zertifikate, die nicht der Richtlinie zur Transparenz von Chromzertifikaten entsprechen, bei Verwendung in Google-Produkten zu Interstitials oder anderen Problemen führen", schrieb Sleevi.

Wenn Symantec und möglicherweise jeder andere Zertifikatsaussteller diese Richtlinien nicht befolgt, besteht das Risiko, dass seine SSL-Zertifikate als unsicher oder unsicher gekennzeichnet werden. Dies würde jedem Benutzer, der versucht, über Chrome auf Websites zuzugreifen, eine schlechte Nachricht senden.

Als Antwort sagte Symantec, dass das Problem durch einen Testfehler verursacht wurde. Es gab an, die fraglichen Zertifikate widerrufen und auf die schwarze Liste gesetzt zu haben, und sagte, dass Benutzern oder Organisationen kein Schaden zugefügt worden sei.

"Um zu verhindern, dass diese Art von Tests in Zukunft durchgeführt wird, haben wir bereits zusätzliche Schutzmaßnahmen für Tools, Richtlinien und Prozesse eingeführt und Pläne angekündigt, mit der Protokollierung der Zertifikatstransparenz aller Zertifikate zu beginnen", heißt es in der Erklärung. "Wir haben auch einen unabhängigen Dritten beauftragt, unseren Ansatz zu bewerten und den Umfang unserer jährlichen Prüfung zu erweitern."