Symantec odpowiada Google na obniżenie wiarygodności certyfikatów SSL

Symantec odpowiada Google na obniżenie wiarygodności certyfikatów SSL

Symantec odpowiada Google na obniżenie wiarygodności certyfikatów SSL
27.03.2017 10:33, aktualizacja: 27.03.2017 11:24

W zeszłym tygodniu Google poinformowało o obniżeniu wiarygodności certyfikatów SSL wydawanych przez Symanteca i wyłączeniu dla nich EV SSL. W toku śledztwa odnaleziono 30 tys. certyfikatów, które zostały wydane z naruszeniem preferowanych przez Google standardów, a samemu Symantecowi zarzucono, że wystawia na niebezpieczeństwo użytkowników Chrome'a. Dziś producent Nortona opublikował nowe stanowisko w tej sprawie.

Jest ono kierowane przede wszystkim do tych, którzy korzystają z certyfikatów Symanteca, jednak ze względu na poważne zarzuty Google, trzeba je także traktować jako list otwarty do twórców Chrome'a. Symantec ustosunkowuje się w nim do ustaleń Google, zarzucając korporacji wyolbrzymianie i wprowadzanie w błąd.

Nieprawdą ma być bowiem, że wydanych z naruszeniem standardów zostało 30 tys. certyfikatów SSl/TLS. Błędnie wydanych miało zostać tylko 127 wcześniej rozpoznanych certyfikatów, zaś wystawca nie odnotował w związku ze swoim błędem żadnych naruszeń bezpieczeństwa. Wzmocnione miały zostać także procedury weryfikacji klientów:

Stanowisko Google dotyczące naszych praktyk wydawniczych i liczby błędnie wydanych certyfikatów jest wyolbrzymione i wprowadza w błąd. Google twierdzi na przykład, że błędnie wydaliśmy 30 tys. certyfikatów SSL/TLS, co nie jest prawdą. (...) Nie uważamy, aby plany Google leżały w najlepszym interesie internautów. Pracujemy nad tym, by rozwiązać tę sytuację z Google we wspólnym interesie naszych klientów i partnerów.

Z części informacyjnej komunikatu, skierowanej do klientów, nie sposób jednak odczytać nadziei na sukces w negocjacjach z Google. Symantec informuje jedynie, że uruchomi program wydawania kolejnych certyfikatów bezpłatnie, ważnych w okresie zdegradowanych przez Google poświadczeń. Zostaną one wydane w trybie przyśpieszonym, wykorzystując proponowany przez Google skrócony czas walidacji.

Symantec uspokaja także swoich klientów, informując, że certyfikaty rozszerzonej walidacji zostaną odrzucone tylko przez Chrome'a, co jednak w świetle pozycji przeglądarki Google, trudno traktować całkowicie poważnie.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (2)