Сертификаты безопасности Symantec объявляются недействительными: Слишком много фальшивок

Безопасность Стратегия безопасности Новости поставщиков Интернет Веб-сервисы
мобильная версия
, Текст: Павел Притула
Symantec потеряет роль удостоверяющего центра по выдаче сертификатов безопасности TLS из-за нарушений, выявленных сотрудниками Google и Mozilla. Для возвращения на этот рынок в качестве самостоятельного игрока ей придется модернизировать инфраструктуру и заново утвердить в Google свой корневой сертификат.

Неоднократные нарушения

Корпорация Symantec будет наказана Google за неоднократные выявленные нарушения при выдаче сертификатов SLL/TLS. Ее сертификаты безопасности для веб-сайтов будут объявлены недействительными, и пользователи браузера Google Chrome увидят сообщение об ошибке сертификата при заходе на такие сайты. Об этом сообщил ресурс ZDNet.

Symantec придется перестраивать всю свою инфраструктуру выдачи сертификатов с нуля, если она хочет остаться удостоверяющим центром (Certificate Authority, СА).

Сертификаты SLL/TLS используются для поддержки зашифрованного трафика HTTPS и обеспечения безопасности обмена данными между сайтом и пользователем. Решение о недоверии сертификатам Symantec в браузере Chrome принято Google по результатам расследования методов их выдачи, начатого в марте 2017 г. инженерами Google и Mozilla.

Первые проблемы с сертификатами у Symantec возникли в 2015 г., когда ее центр сертификации Thawte выпустил фальшивые сертификаты SSL с расширенной проверкой для доменов google.com и www.google.com. Причиной этого стала халатность нескольких сотрудников, которые по результатам расследования были уволены.

Google объявила о намерении удалить поддержку сертификатов Symantec в своем браузере Chrome

В марте 2017 г. инженеры Google и Mozilla обнаружили нарушения в 127 сертификатах SSL, выданных удостоверяющим центром Symantec. В ходе углубленной проверки оказалось, что их число достигает 30 000. Несмотря на то, что Symantec – один из крупнейших удостоверяющих центров в мире, компания Google объявила о намерении удалить поддержку сертификатов Symantec в своем браузере Chrome.

Со своей стороны, официальные представители Symantec отвергли выдвинутые обвинения, назвав результаты расследования «преувеличенными и вводящими в заблуждение». В частности, они признали проблему только со 127 сертификатами и заявили о предвзятости Google, уделившей внимание в своем заявлении лишь Symantec, несмотря на то, что проблемы с выдачей были выявлены сразу у нескольких СА.

В ходе переговоров компаниями была сформирована «дорожная карта», которая позволяет обеим сторонам заявлять о своей победе. Google может заявить о запрете сертификатов СА, нарушающего правила, а Symantec, по предварительным данным, сохранит свое имя в выдаваемых сертификатах.

Что будет дальше

С 1 декабря 2017 г. Symantec станет партнером другого удостоверяющего центра, который станет выдавать сертификаты от ее имени. Фактически, она будет подчиненным СА (SubCA). Этот шаг позволит ей сохранить клиентов, одновременно работая над модернизацией своей инфраструктуры, чтобы при желании вернуться в бизнес как самостоятельный игрок. Google достигнет своих целей за счет того, ответственность за выдачу сертификатов безопасности будет возложена на другой СА, не замеченный в нарушениях.

В апреле 2018 г. Google планирует выпустить браузер Chrome версии 66. В нем пользователи увидят, что все сертификаты Symantec, выпущенные до 1 июня 2016 г., ошибочны. Впрочем, к этому сроку большинство из них все равно будет просрочено.

Третий этап плана – с октября 2018 г. Chrome будет считать ошибочными все сертификаты Symantec, выпущенные в старой инфраструктуре до 1 декабря 2017 г.

Владельцам веб-сайтов и другим разработчикам, использующим сертификаты Symantec в своих приложениях, придется обратиться к Symantec за новым сертификатом SSL, который будет выпущен ее «управляющим партнером» или сменить поставщика сертификатов.

Также в Google Chrome будет удален корневой сертификат Symantec, без которого невозможна работа всех сертификатов этого поставщика. Но стороны договорились, что в будущем Symantec сможет представить для утверждения новый корневой сертификат.

Ранее Google выносил аналогичные решения о недоверии в отношении удостоверяющих центров WoSign и StartCom.