В конце прошлой недели проект Certificate Transparency, принадлежащий компании Google, с удивлением сообщил, что центр сертификации Thawte, принадлежащий компании Symantec, выпустил фальшивые SSL-сертификаты с расширенной проверкой для доменов google.com и www.google.com. Оказалось, виной всему был человеческий фактор, — Symantec уволила ряд сотрудников, которые случайно допустили использование поддельных сертификатов.
На недоумение со стороны Google компания Symantec ответила официальной публикацией в блоге. Согласно записи, специалисты Symantec обнаружили инцидент с использованием фальшивых сертификатов лишь после того, как их уведомили сотрудники поискового гиганта. Сертификаты и ключи действительно были созданы работниками Symantec, но предназначались для внутреннего тестирования и исследовательских целей, компания вовсе не планировала их обнародовать.
Поддельные сертификаты были действительны всего один день, 1 января 2015 года. Совместно компании сумели разобраться, что сертификаты были случайно использованы в ходе внутреннего тестирования Symantec. И хотя сертификаты использовались всего один день, Google уже обновила Chrome, аннулировав их. Symantec, в свою очередь, сурово наказала виновных:
«Мы обнаружили, что ряд наших блестящих сотрудников, которые успешно справились со сложными вводными тренингами и испытаниями, не сумели работать по правилам. Невзирая на то, что их намерения были самыми лучшими, несоблюдение правил привело к их увольнению. В силу того, что вы полагаетесь на нас, как на защитников в цифровом мире, мы ограничиваем себя жесткими рамками, которые не допускают компромиссов. В результате, увольнение виновных стало для нас единственным возможным решением».
Фото: LPS.1