Мир корпоративных ИТ
Статті

Нокдаун от Google: cертификаты безопасности Symantec недействительны

01 августа, 2017. 10:08 Владимир Смирнов
Теги: #безопасность, #Symantec, #сертификат_безопасности
Symantec потеряет роль удостоверяющего центра по выдаче сертификатов безопасности TLS. Это произойдет из-за нарушений, выявленных Google и Mozilla. Теперь Symantec придется модернизировать cвою инфраструктуру и заново пройти процедуру утверждения в Google своего корневого сертификата.

Сертификаты безопасности Symantec для веб-сайтов будут объявлены недействительными, и пользователи браузера Google Chrome увидят сообщение об ошибке сертификата если зайдут на такие сайты. Так сообщил авторитетный ресурс ZDNet.

Теперь Symantec придется заново перестраивать всю свою инфраструктуру выдачи сертификатов с нуля, если она решит остаться удостоверяющим центром.

Напомним: сертификаты SLL/TLS поддерживают зашифрованный трафик HTTPS и обеспечивают безопасность обмена данными между сайтом и пользователем. Недоверие сертификатам Symantec в браузере Chrome вынесено Google по результатам расследования методов их выдачи, начатого в марте этого года.

Эти проблемы возникли у Symantec еще в 2015 г., когда ее центр сертификации Thawte выпустил фальшивые сертификаты SSL с расширенной проверкой для доменов google.com и www.google.com. Причиной этого стала халатность нескольких сотрудников.

В марте этого года инженеры Google и Mozilla нашли нарушения в 127 сертификатах SSL, выданных Symantec. Начали копать глубже, и обнаружили, что их число достигает 30 000. И хотя Symantec – один из крупнейших удостоверяющих центров в мире, Google объявила о намерении удалить поддержку сертификатов Symantec в своем браузере Chrome.

В Symantec отвергли выдвинутые обвинения, назвав результаты расследования преувеличенными и вводящими в заблуждение. Там, очевидно, решили признать проблему только со 127 сертификатами и заявить о предвзятости Google. При этом в Symantec начали «переводить стрелки» на проблемы с выдачей у других сертификационных центров.

После переговоров стороны пришли к компромиссу. Symantec сохраняет свой статус CA, а Google не будет признавать ее сертификаты до решения проблемы. Это начнется в апреле 2018 г., когда Google планирует выпустить браузер Chrome версии 66. В нем пользователи увидят, что все сертификаты Symantec, датированные до 1 июня 2016 г., ошибочны. С октября 2018 г. Chrome будет считать ошибочными все сертификаты Symantec, выпущенные в старой инфраструктуре до 1 декабря 2017 г.

С декабря 2017 г. Symantec станет партнером другого удостоверяющего центра, который станет выдавать сертификаты от ее имени. Этот шаг позволит сохранить клиентов и модернизировать свою инфраструктуру, чтобы при желании вернуться в бизнес как самостоятельный игрок. 

Комментарии:
Новые статьи