Компания Google сообщила, что в самое ближайшее время изымет из Chrome, Android и прочих продуктов корневой сертификат компании Symantec. Представители Google утверждают, что этот шаг вызван стремлением обезопасить пользователей, так как неясно, для чего Symantec использует данный сертификат.

1 декабря 2015 года компания Symantec прервала действие корневого сертификата VeriSign G1 (Class 3 Public Primary CA), который ранее использовался для подписания публичного кода и работы с TLS/SSL сертификатами. Хотя компания уведомила Google о том, что в дальнейшем этот корневой сертификат еще планируют использовать, Symantec отказалась объяснять, как именно он будет применяться и с какими целями. В результате служба безопасности Google приняла решение не поддерживать сертификат вовсе и удалить из списка надежных. Инженер компании Райн Сливи (Ryan Sleevi) поясняет в блоге, что VeriSign G1 более не соответствует требованиям CA/Browser Forum Baseline Requirements.

«Эти требования являются отражениям передовых практик индустрии и являются основой работы публичных доверенных сертификатов. Несоответствие данным требованиям, это неприемлемый риск, ставящий под угрозу всех пользователей продуктов Google, — пишет Сливи. — Так как компания Symantec не сумела разъяснить новое предназначение сертификатов, но знала о риске, которому будут подвергнуты пользователи Google, нас попросили превентивно удалить этот корневой сертификат и прервать его действие. Этот шаг необходим, так как данный сертификат широко используется платформами Android, Windows и OS X».

Symantec, в освою очередь, отмечает, что остановка работы сертификата полностью соответствует нормам CA/Browser Forum Baseline Requirements. Представители компании уверяют, что делают такое не в первый раз, но никогда ранее уведомление разработчиков браузеров об очередном неработающем корневом сертификате не приводило к таким последствиям.

Компания предупреждает пользователей, что их браузеры вскоре могут перестать поддерживать сертификат, что может привести к возникновению ошибок. Тем не менее, Сливи пишет, что представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.

Впервые претензии к Symantec возникли у Google в октябре 2015 года, после инцидента с публикацией фальшивых SSL-сертификатов с расширенной проверкой для доменов google.com и www.google.com. Тогда представители Symantec извинялись, уверяли, что произошла ошибка, а сертификаты были созданы исключительно в мирных, исследовательских целях. Дальнейшее расследование показало, что компания обнародовала 23 тестовых сертификата, из которых 6 затрагивали домены Google, а еще 7 домены Opera. Впоследствии удалось выявить еще 164 сертификата, покрывающих 76 доменов. Более того, оказалось, что Symantec использовала свыше 2400 сертификатов для незарегистрированных доменов, хотя такая практика была отменена еще в апреле 2014 года.

Хотя тогда представители Symantec утверждали, что тестовые сертификаты не могли представлять никакого риска для пользователей, в Google посчитали иначе и порекомендовали Symantec поработать над безопасностью в данной области.

Сейчас, в ситуации с корневым сертификатом VeriSign G1, представители Symantec считают, что Google раздувает из мухи слона, но подчеркивают, что этот инцидент никак не связан с октябрьскими событиями.

Фото: TONY AVELAR/BLOOMBERG



Оставить мнение