Symantec, один из крупнейших органов цифровой сертификации в мире, была во второй раз за два года обвинена в ошибочной выдаче серии цифровых сертификатов. В ответ на это компания отозвала сертификаты и возбудила расследование, пишет Computing.
Сомнительные сертификаты подверглись аттестации поставщика SSLMate в выходные. Аттестация показала, что ряд сомнительных сертификатов, выданных Symantec, не был санкционирован ICANN (Корпорация по управлению доменными именами и IP-адресами), тогда как другая партия, видимо, оказалась "тестовыми" сертификатами, которые, как предположил основатель SSLMate Эндрю Айер, вероятно, охватывали домены, принадлежащие киберсквоттерам.
Цифровые сертификаты предназначены для обеспечения независимой проверки подлинности и права собственности на сайт, с тем чтобы не дать хакерам выдать себя за защищенный веб-сайт. Symantec — один из крупнейших в мире эмитентов цифровых сертификатов под собственной торговой маркой, так же, как GeoTrust, Thawte и RapidSSL.
Айер отмечает, что, хотя Symantec уволила людей после последнего скандала из-за сертификатов в октябре 2015 года, компания, по-видимому, не торопится доводить до ума свои процессы и процедуры, чтобы предотвратить повторение. Айер также раскритиковал Symantec за выдачу устаревших сертификатов SHA-1. «Symantec — невероятно плохой орган сертификации, — добавил он. — Похоже, что Symantec всегда использовала домены других людей для тестирования. Для контекста, в 2015 году Google поймала Symantec на самовольной выдаче доверенных сертификатов SSL для доменов других людей в целях тестирования. Это просто табу. Есть конкретные правила, которым должны следовать органы сертификации, чтобы убедиться в авторизованности запроса на сертификат. Даже если сертификаты предназначены только для тестирования — если система позволяет сотрудникам обойти авторизацию, она позволит и злоумышленникам обойти ее».
"Google отреагировала, потребовав, чтобы все новые сертификаты Symantec публично регистрировались в Certificate Transparency. Symantec устроила шоу, уволив людей, якобы несущих за все ответственность. Но для меня она все та же «старая добрая Symantec», вплоть до ее обычных выкрутасов", — заявил Aйер.
В ответ на претензии Айера, опубликованные на сайте Mail-Archive.com, менеджер по продукции Symantec Стив Медин признал, что сертификаты были выданы неправомерно.