Google har gitt Symantec en frist til 1. juni 2016 for å sørge for at samtlige sikkerhetssertifikater som selskapet selv har utstedt, støtter Certificate Transparency, en protokoll definert av IETF for å sikre åpenhet om sertifikatutgivelser.
Dersom dette ikke oppfylles, kan sertifikater som nylig har blitt utstedt av Symantec forårsake sikkerhetsadvarsler eller andre problemer i Chrome og andre Google-produkter. Dette opplyser Google i et blogginnlegg.
Falske sertifikater
Bakgrunnen for denne dramatikken er at et antall ansatte i Symantec skal ha fått sparken fordi tidligere i år utstedte flere testsertifikater for domener som tilhører i alt fem virksomheter, inkludert Google og Opera Software, uten at domeneeierne har kjent til det.
Det er likevel ikke dette alene som har fått Google til tilsynelatende å komme med denne advarselen.
Google antyder nemlig at Symantec ikke har vist evne til å rydde skikkelig opp i denne saken. I det som skulle ha vært den endelige rapporten om denne hendelsen, skriver Symantec at det i alt dreide seg om 23 sertifikater. Dette var i midten av september.
Men Google skal etter noen få minutter med arbeid ha funnet flere mistenkelige sertifikater. Den 12. oktober kom Symantec med nye rapporter hvor det går fram at omfanget var langt større. Ytterligere 164 falske sertifikater tilhørende 76 domener var blitt funnet, i tillegg til 2458 sertifikater til ikke-eksisterende domener.
Ikke første gang:Advarer mot falske Google-sertifikater
Tillit?
– Det er selvfølgelig bekymringsfullt at en CA [Certificate Authority, journ. anm.] har et så langvarig problem, og at de har vært ute av stand til å vurdere dets omfang etter å ha blitt varslet om det og etter å ha gjennomført en revisjon, skriver programvareingeniøren Ryan Sleevi i Googles blogginnlegg.
Den aktuelle CA-en er Thawte, som ble etablert av Mark Shuttleworth i 1995 og kjøpt av Symantec i 2000.
I tillegg til de framtidige tiltakene, krever Google nå blant annet at Symantec kommer med en analyse som forklarer hvorfor ikke alle sertifikatene ble funnet i første omgang, samt detaljer om hvor det har skjedd brudd på relevante retningslinjer og om hva som kan ha vært hovedårsaken til hvert av disse bruddene.
Les også: Vil kreve HTTPS for ny webfunksjonalitet
Sikkerhetsrevisjon
Google krever også at en tredjepart gjennomfører en sikkerhetsrevisjon av visse verktøy og mekanismer hos Symantec for blant annet å sikre at selskapets ansatte ikke har tilgang til private nøkler via et gitt verktøy, samt at dette ikke verktøyet ikke kan brukes til å utstede sertifikater til ansatte som eventuelt har en slik nøkkel.
I en uttalelse som er gjengitt av Ars Technica, opplyser at Symantec at selskapet har trukket tilbake de aktuelle testsertifikatene, innført nye sikkerhetstiltak og kunngjort planer om å begynne Certificate Transparency-logging av alle sertifikater, slik Google etterlyser. Selskapet skal dessuten ha engasjert en uavhengig tredjepart til å evaluere tiltakene.
Leste du denne? Let’s Encrypt har fått tillit av alle nettlesere
