Google gaat de komende weken een rootcertificaat van Symantec blokkeren omdat het niet meer aan de richtlijnen voldoet die door certificaatautoriteiten en ontwikkelaars van browsers en besturingssystemen zijn gesteld. Rootcertificaten worden gebruikt voor het uitgeven van SSL-certificaten.

Via SSL-certificaten kunnen websites onder andere een beveiligde verbinding met bezoekers opstellen. Rootcertificaten bevinden zich in browsers en besturingssystemen. Zodoende wordt een SSL-certificaat dat onder het betreffende rootcertificaat is uitgegeven automatisch vertrouwd. De maatregel van Google volgt op een waarschuwing van Symantec zelf dat het rootcertificaat niet meer aan de regels van het CA/Browser Forum voldoet.

Dit is een consortium van certificaatautoriteiten en softwareontwikkelaars. Doordat het rootcertificaat niet aan de regels voldoet, vormt dit een 'onacceptabel risico' voor de gebruikers van Google, zo stelt Ryan Sleevi, software-engineer bij de internetgigant. Symantec heeft aangegeven dat het rootcertificaat voor andere doelen zal worden gebruikt dan het uitgeven van SSL-certificaten, maar dat is voor Google niet voldoende.

"Doordat dit rootcertificaat niet langer aan de regels van het CA/Browser Forum voldoet, kan Google niet langer garanderen dat het rootcertificaat, of de certificaten die onder dit rootcertificaat worden uitgegeven, niet zullen worden gebruikt voor het onderscheppen, verstoren of nabootsen van de beveiligde communicatie van Google-producten of gebruikers", aldus Sleevi. Certificaten die onder het rootcertificaat worden uitgegeven zullen namelijk automatisch worden vertrouwd. Een aanvaller die zich tussen een internetgebruiker en het internet weet te plaatsen, kan zo versleutelde verbindingen afluisteren.

Maatregel

Aangezien Symantec het doel van het nieuwe rootcertificaat niet wil vertellen en zich volgens Sleevi bewust is van de risico's die het voor Google-gebruikers kan vormen, heeft het beveiligingsbedrijf gevraagd om preventieve maatregelen te nemen en het rootcertificaat niet te vertrouwen. Deze stap is nodig omdat het rootcertificaat op een groot aantal platformen wordt gebruikt, zoals Android, Windows, en Mac OS X-versies voor OS X 10.11. Daardoor zouden certificaten die onder het betreffende rootcertificaat worden uitgegeven op de systemen van vele miljoenen gebruikers worden vertrouwd.

Google zal het rootcertificaat daarom de komende weken in Chrome, Android en andere Google-producten blokkeren. Volgens Symantec zal deze maatregel geen invloed hebben op website-eigenaren die SSL-certificaten van Symantec gebruiken. Naast beveiligingsdiensten levert Symantec ook SSL-certificaten. Hiervoor heeft het verschillende merken, zoals VeriSign, GeoTrust, Thawte en RapidSSL. Al een aantal jaren is Symantec de grootste speler op de markt van SSL-certificaten. Onlangs kwam het beveiligingsbedrijf ook al in een negatief daglicht vanwege het geknoei met dergelijke certificaten en dreigde Google met maatregelen.