В 2015 году у компании Symantec уже возникали проблемы из-за выданных по ошибке сертификатов. Тогда центр сертификации Thawte, принадлежащий Symantec, выпустил фальшивые SSL-сертификаты с расширенной проверкой для доменов google.com и www.google.com. Оказалось, виной всему был человеческий фактор, по итогам разбирательства Symantec уволила ряд сотрудников, которые случайно допустили использование поддельных, предназначенных исключительно для внутреннего тестирования, сертификатов.

Тогда расследование показало, что компания обнародовала 23 тестовых сертификата, из которых 6 затрагивали домены Google, а еще 7 домены Opera. Впоследствии удалось выявить еще 164 сертификата, покрывающих 76 доменов. Более того, оказалось, что Symantec использовала свыше 2400 сертификатов для незарегистрированных доменов, хотя такая практика была отменена еще в апреле 2014 года.

Новые проблемы Symantec сулит публикация представителя SSLMate Эндрю Айра (Andrew Ayer). Специалист уличил Symantec в выдаче нелегитимных сертификатов, в частности, для доменов example.com, а также разных вариаций test.com (test1.com, test2.com и так далее).

Айру уже ответил представитель Symantec Стив Медин (Steve Medin). Он подтвердил, что данные сертификаты были ошибочно выпущены партнерами Symantec. По словам Медина, на данный момент привилегии партнеров уже были понижены (во избежание новых проблем), все проблемные сертификаты отозваны, и ведется расследование инцидента.

Напомню, что в 2015 году Chrome и Android перестали доверять одному из корневых сертификатов Symantec. Тогда представители Google сообщили, что сертификат более не отвечает нормам CA/Browser Forum Baseline, и, более того, неясно, для чего Symantec его использует.



Оставить мнение