Vanwege verschillende fouten bij ssl-certificaten die door Symantec zijn gecontroleerd en uitgegeven heeft Google besloten om geleidelijk het vertrouwen in de certificaten van het bedrijf op te zeggen. In januari begon Google een onderzoek naar verschillende incidenten met ssl-certificaten van Symantec.
In eerste instantie ging het om 127 ten onrechte uitgegeven certificaten, maar verder onderzoek wees uit dat het om minstens 30.000 certificaten ging die de afgelopen jaren zijn uitgegeven. Het is niet de eerste keer dat Symantec de mist in gaat. In 2015 ontdekte Google ook al verschillende problemen. Zo had Symantec ten onrechte een ssl-certificaat voor Google aan een andere partij uitgegeven. Ook bij de nu ontdekte problemen heeft Symantec de gemeenschap niet voldoende ingelicht en gewaarschuwd, aldus Google.
"Hierdoor hebben we geen vertrouwen meer in het beleid en de manier waarop Symantec de afgelopen jaren certificaten heeft uitgegeven", zo laat de internetgigant weten. Om het vertrouwen te herstellen stelt Google verschillende maatregelen voor. Zo krijgen nieuwe door Symantec uitgegeven ssl-certificaten een geldigheidsperiode van negen maanden of minder. Daarnaast zal het vertrouwen in al uitgegeven Symantec-certificaten geleidelijk worden opgezegd. Verder zal de Extended Validation-status van door Symantec uitgegeven certificaten worden ingetrokken, totdat Symantec de zaakjes weer op orde heeft. Dit zal in ieder geval voor één jaar gaan gelden.
"Om de compatibiliteitsrisico's tegen de veiligheidsrisico's af te wegen, stellen we voor om het vertrouwen in alle bestaande door Symantec uitgegeven certificaten geleidelijk op te zeggen, waarbij we verplichten dat ze door nieuwe, volledig opnieuw gecontroleerde certificaten worden vervangen", aldus Google. De maatregelen zullen via aankomende Chrome-versies worden doorgevoerd. Daarnaast mogen nieuwe Symantec-certificaten niet langer geldig dan negen maanden zijn.
Door deze stappen te combineren moeten de Symantec-certificaten weer kunnen worden vertrouwd en moet het risico van oudere en mogelijk ook toekomstige ten onrechte uitgegeven certificaten worden beperkt. Daarnaast worden de EV-certificaten van Symantec per direct niet meer als EV-certificaat weergegeven. Wat andere browserleveranciers zoals Apple, Microsoft en Mozilla met de Symantec-certificaten gaan doen is nog onbekend.
Deze posting is gelocked. Reageren is niet meer mogelijk.