Megelégelte a Symantec bénázását a Google

A keresőóriás bizonyos weboldal-tanúsítványokat nem is hajlandó felismerni, másokat pedig egyre kevesebb ideig fogad el hitelesnek.

A Google bejelentette, hogy nem fogadja el hitelesnek a Symantec weboldalhitelesítéseit, miután kiderült, hogy az elmúlt években nagyjából harmincezer olyan tanúsítványt állított ki a vállalat, amit nem kellett volna. A Symantec Extended Validation (EV) rendszerében generált tanúsítványokat azonnali hatállyal le is tiltotta a keresőóriás, a bojkott pedig legalább egy évig tart. A Google felszólította a Symantecet, hogy javítsa ki a tanúsítványkiadási folyamataiban azokat a hibákat, amik jelenleg hiteltelenné teszik a kiállított igazolásokat.

Még 2015-ben történt, hogy a google.com doménre elkészült egy EV, csakhogy a Google ezt nem kérte és nem is hagyta jóvá. Az egész oldaltanúsítványos üzlet lényege az lenne, hogy a látogató biztonságban érezhesse magát azáltal, hogy a meglátogatott honlapot az a cég birtokolja és üzemelteti, akinek a nevére a tanúsítvány szól.

Miután vizsgálat indult az ügyben, kiderült, több mint kétezer olyan tanúsítvány készült, ami hibás. A Google ekkor kérte a Symantectől, hogy integrálja a Certificate Transparency Monitoring System nevű rendszert, amivel a jogtalan tanúsítványkérelmek könnyebben kiszűrhetők. Végül a Symantec root tanúsítványait (Class 3 Public Primary CA) kizárták a Chrome-ból és az Androidból, innentől kezdve ezek nem számítottak megbízhatónak.

A dolog ezzel nem ért véget, a Google Chrome szakértői gárdája is vizsgálódni kezdett a honlaptanúsítványok ügyében, majd arra jutottak, az elmúlt években 30 000 olyan eset is történt, amikor a Symantec hibás tanúsítványt adott ki. Ezért a böngésző fejlesztői a következő lépéseket találták ki:

  • csökkentik a frissen kiadott hitelesítések elfogadásának idejét 9 hónapra
  • bevezetik a növekvő bizalmatlanság elvét a következő Chrome kiadásokkal, egyre kevesebb ideig bíznak meg a Symantec hitelesítéseiben
  • az Extended Validation esetében pedig egyszerűen nem fogadják el biztonságosnak a honlapokat, ha a tanúsítványt a Symantec rendszerén keresztül hitelesítették

A Chrome 59 még 33 hónapig, a 60 már csak 27-ig, a 61 21, míg végül a 64 már csak 9 hónapig fogadja el érvényesnek a Symantec által kiadott dokumentumokat. A Google közleményében azt írják, bíznak benne, hogy a többi böngészőfejlesztő is követi példájukat.

Azóta történt

Előzmények