Google сообщила о намерении постепенно исключить старые SSL-сертификаты Symantec из списка доверенных и сократить срок действия новых. Причиной послужил ряд серьезных промахов со стороны Symantec, которые выявились в результате расследования, проведенного Google. Оно началось в январе и закончилось в марте. Изначально инженеры компании проанализировали 127 случаев ошибочных выпусков сертификатов уровня EV (Extended Validation), однако, как показало более подробное изучение логов Symantec, ошибочно выданных сертификатов было гораздо больше. В итоге, под сомнение поставлена действительность более 30 тыс. EV-сертификатов Symantec, выданных за последние несколько лет.
Кроме того, в ходе расследования у Symantec были зафиксированы проблемы с процедурой проверки подлинности доменов. Было установлено, что сотрудники Symantec не осуществляют проверку собственных журналов на предмет наличия фактов ошибочных выпусков сертификатов и не стремятся улучшить процедуру выпуска во избежание таких случаев.
Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги:
- Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome любых дальнейших некорректных выдач, которые могут возникнуть.
- Постепенный отказ в доверии, охватывающий несколько выпусков Google Chrome, всем ранее выданным сертификатам Symantec, с требованием повторного подтверждения и замены.
- Отказ в признании статуса EV для сертификатов, выданных Symantec, до тех пор, пока сообщество не будет уверено в правилах и практике Symantec, но не ранее чем через один год».
То есть данные сертификаты продолжат работу, но как сертификаты DV (Domain Validation, верификация по домену), без отображения индикатора расширенной аутентификации и имени владельца. В дальнейшем все проблемные сертификаты будут постепенно заблокированы путём сокращения максимального срока их действия.
Это уже не первый случай, когда между Google и Symantec возник конфликт по поводу выдачи сертификатов. В 2015 г. проведенное Google расследование показало, что удостоверяющий центр Thawte (принадлежит Symantec) без разрешения или запроса со стороны Google выпустил сертификат для доменов google.com и www.google.com. Выпуск сертификата, по заверению Symantec, произошел в результате внутреннего тестирования.
Это был первый зафиксированный случай нелегального выпуска EV-сертификата. Примечательно, что сертификат был обнаружен при помощи относительно нового механизма — Certificate Transparency. Эта технология была специально разработана для того, чтобы любой владелец домена мог узнать, какие сертификаты выпущены для его домена и, соответственно, обнаружить мошеннические.
Symantec — один из крупнейших центров сертификации в Интернете. Так, в январе 2015 г. более 30% всех сертификатов в Сети были выданы именно этим центром. Правда, с тех пор произошли значительные изменения. Сейчас лидером является Comodo с 42,7%, а доля Symantec сократилась до 15,4%.