27.03.2017  Новости, Безопасность

Google сообщила о намерении постепенно исключить старые SSL-сертификаты Symantec из списка доверенных и сократить срок действия новых. Причиной послужил ряд серьезных промахов со стороны Symantec, которые выявились в результате расследования, проведенного Google. Оно началось в январе и закончилось в марте. Изначально инженеры компании проанализировали 127 случаев ошибочных выпусков сертификатов уровня EV (Extended Validation), однако, как показало более подробное изучение логов Symantec, ошибочно выданных сертификатов было гораздо больше. В итоге, под сомнение поставлена действительность более 30 тыс. EV-сертификатов Symantec, выданных за последние несколько лет. Кроме того, в ходе расследования у Symantec были зафиксированы проблемы с процедурой проверки подлинности доменов. Было установлено, что сотрудники Symantec не осуществляют проверку собственных журналов на предмет наличия фактов ошибочных выпусков сертификатов и не стремятся улучшить процедуру выпуска во избежание таких случаев. Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги: Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome любых дальнейших некорректных выдач, которые ... читать далее.