Symantec heeft deze week onterecht een Extended Validation (EV) pre-certificaat voor google.com en www.google.com uitgegeven, zonder dat Google hierom had gevraagd of hier toestemming voor had gegeven. Het certificaat werd door Google zelf ontdekt.
Naast beveiligingsdiensten levert Symantec ook SSL-certificaten, bedoeld voor het identificeren van websites en het versleutelen van verkeer tussen websites en bezoekers. Hiervoor heeft het verschillende merken, zoals VeriSign, GeoTrust, Thawte en RapidSSL. Al een aantal jaren is Symantec de grootste speler op de markt van SSL-certificaten.
In het geval van het onterecht uitgegeven certificaat werd dit door Thawte uitgegeven en via Certificate Transparency (CT) ontdekt. Dit is een door Google zelf ontwikkelde technologie die verschillende structurele fouten in het SSL-certificaatsysteem moet verhelpen. Daardoor moeten onterecht uitgegeven en malafide SSL-certificaten eerder worden ontdekt. Bij Certificate Transparency moet een met SSL-versleutelde website bewijs aanleveren dat het certificaat in een publieke CT-log voorkomt.
Een CT-log is een eenvoudige netwerkdienst die een archief van SSL-certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. In het geval van EV SSL-certificaten, de duurdere variant van een normaal SSL-certificaat die de adresbalk deels of geheel groen maakt, zijn CT-logs sinds dit jaar verplicht in Google Chrome.
Tijdens het onderzoek bleek dat Symantec de certificaten tijdens een intern testproces had aangemaakt. Inmiddels heeft Google een update uitgebracht zodat Chrome het onterecht uitgegeven certificaat niet accepteert. Daarnaast was het certificaat voor slechts een dag geldig. Volgens Google zijn er op dit moment geen aanwijzingen dat gebruikers risico hebben gelopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.