Проблемы с сертификатами начались у компании Symantec еще в 2015 году. Тогда центр сертификации Thawte, принадлежащий компании, выпустил фальшивые SSL-сертификаты с расширенной проверкой для доменов gmail.com, google.com и www.google.com. Оказалось, виной всему был человеческий фактор, по итогам разбирательства Symantec уволила ряд сотрудников, которые случайно допустили использование поддельных, предназначенных исключительно для внутреннего тестирования, сертификатов.
Но неприятности продолжились: в начале 2017 года представитель SSLMate Эндрю Айр (Andrew Ayer) уличил Symantec в выдаче нелегитимных сертификатов, в частности для доменов example.com, а также разных вариаций test.com (test1.com, test2.com и так далее). Тогда в Symantec заявили, что сертификаты были ошибочно выпущены партнерами компании. Привилегии проштрафившихся сторон были понижены, а все проблемные сертификаты отозваны.
Новые обвинения в адрес Symantec теперь звучат со стороны компании Google. Инженер команды Google Chrome Райан Сливи (Ryan Sleevi) сообщил, что в ближайшее время Chrome перестанет доверять 30 000 сертификатов, выпущенным Symantec.
Сливи поясняет, что его команда с 19 января 2017 года занималась расследованием ошибок, допущенных Symantec Corporation в ходе валидации сертификатов. Расследование разработчиков началось со 127 конкретных инцидентов, однако чем глубже исследователи копали, тем больше обнаруживали проблем. Вскоре стало понятно, что проблемными можно считать как минимум 30 000 сертификатов, выданных за последние несколько лет. Сливи подчеркивает, что у Symantec наблюдаются большие проблемы с валидацией доменов, то есть зачастую должные проверки не проводились, и кому выдавались сертификаты не совсем ясно. Хуже того, с аудитом собственных логов у Symantec тоже наблюдаются трудности. Так, по словами Сливи, сотрудники Symantec не смогли самостоятельно обнаружить случаи выдачи сертификатов неуполномоченным сторонам, и даже не пытались улучшить процессы валидации и проверок, явно далекие от совершенства.
Инженер Google пишет, что Symantec предоставляла доступ к своей инфраструктуре как минимум четырем сторонним организациям, которые могли выдавать сертификаты, однако должного контроля и надзора за их работой компания не осуществляла. Из-за этого специалисты Symantec не сумели в отведенные сроки ответить на запросы Google и предоставить информацию, касающуюся инцидентов, заинтересовавших исследователей.
Теперь в Google планируют отозвать Extended Validation статус для всех сертификатов Symantec. Бан будет наложен как минимум сроком на один год. Также постепенно будут сокращаться сроки действия для уже выданных сертификатов Symantec: если в Chrome 59 срок действия сертификатов будет ограничен 33 месяцами, то в Chrome 62 это значение составит уже 15 месяцев, а в Chrome 64 и вовсе сократится до 9 месяцев. Кроме того все новые сертификаты Symantec предлагается изначально ограничивать девятимесячным сроком годности.
Представители Symantec уже отреагировали на эти обвинения. В блоге компании появилась запись, в которой обвинения Google названы «преувеличенными и недостоверными». Представители компании сообщают, что речь может идти лишь о 127 выданных по ошибке сертификатах, но никак не о 30 000. Пост Сливи они называют «безответственным», а действия Google «неожиданными», заявляя, что компания работает в соответствии со всеми стандартами, установленными индустрией, и доверять ее SSL/TLS-сертификатам можно. В Symantec подчеркивают, что ошибочно выданные сертификаты не несли пользователям никакого вреда. Компания сообщает, что открыта для диалога и надеется разрешить данную ситуацию, совместно с представителями Google.
