guteksk7 / Shutterstock Google har satt et ultimatum for Symantec - vær fullstendig gjennomsiktig når det gjelder utstedelse av sikkerhetssertifikatene dine, eller nettsteder som bruker Symantec-sertifikater vil bli ansett som utrygge av Google Chrome.
I september avslørte Symantec i en rapport at de hadde sparket en rekke ansatte for å ha utstedt uautoriserte TSL-sertifikater for domenenavn til selskaper som ikke eier dem.
Dette betydde at de kunne blitt brukt til å kopiere HTTPS-beskyttede nettsteder, inkludert de fra Google. Nettkriminelle kan bruke sertifikatene til å utgi seg for anerkjente nettsteder og bli ubemerket.
Opprinnelig sa Symantec at 23 sertifikater ble utstedt, men Google har bestridt dette tallet og sa at det er mye høyere. Etter nærmere undersøkelse sa Symantec at det var ytterligere 164 sertifikater over 76 domener og 2 458 sertifikater for domener som ennå ikke er registrert.
I et blogginnlegg ba Googles Ryan Sleevi om at detaljene i Symantecs etterforskning ble gjort offentlige og gjennomsiktige for å forstå hvorfor antall utstedte sertifikater ble underestimert. Dette innebærer detaljert informasjon om hvordan selskapet vil forhindre at dette skjer igjen, samt hvilke metoder det vil være.
Sleevi har også bedt Symantec om å sikre at alle SSL-sertifikater fra og med 1. juni 2016 utstedes i samsvar med Certificate Transparency, en offentlig revisjonslogg.
"Etter denne datoen kan sertifikater som nylig er utstedt av Symantec, og som ikke er i samsvar med Chromium Certificate Transparency Policy, føre til mellomliggende annonser eller andre problemer når de brukes i Google-produkter," skrev Sleevi.
Hvis Symantec, og muligens en hvilken som helst annen sertifikatutsteder, ikke følger disse retningslinjene, risikerer det at SSL-sertifikatene blir flagget som usikre eller usikre, noe som vil sende en dårlig melding til alle brukere som prøver å få tilgang til nettsteder som bruker dem gjennom Chrome.
Som svar har Symantec sagt at problemet skyldes en testfeil. Det uttales at det har tilbakekalt og svartelist sertifikatene det er snakk om, og sa at det ikke hadde blitt skadet noen brukere eller organisasjoner.
"For å forhindre at denne typen tester skjer i fremtiden, har vi allerede satt inn ekstra verktøy, policy og prosessbeskyttelser, og kunngjort planer om å starte sertifikatlogging av alle sertifikater," sa uttalelsen. "Vi har også engasjert en uavhengig tredjepart for å evaluere vår tilnærming, i tillegg til å utvide omfanget av vår årlige revisjon."
