Google overweegt een strenge straf voor herhaalde voorvallen waarbij Symantec of zijn certificaat wederverkopers onjuiste SSL-certificaten hebben uitgegeven. Een voorgesteld plan is om het bedrijf te dwingen om alle certificaten van zijn klanten te vervangen en om te stoppen met het herkennen van de extended validation (EV) -status van degenen die het hebben.

verantwoordelijk voor ongeveer één op de drie SSL-certificaten

Volgens een Netcraft-enquête uit 2015 is Symantec verantwoordelijk voor ongeveer één op de drie SSL-certificaten die op internet worden gebruikt, waarmee het de grootste uitgever van commerciële certificaten ter wereld is. Als gevolg van overnames door de jaren heen, beheert het bedrijf nu de root-certificaten van verschillende voorheen onafhankelijke certificeringsinstanties, waaronder VeriSign, GeoTrust, Thawte en RapidSSL.

SSL / TLS-certificaten worden gebruikt om de verbindingen tussen browsers en HTTPS-websites te coderen en ook om te verifiëren dat gebruikers daadwerkelijk de websites bezoeken waarvoor ze zijn bedoeld en niet voor vervalste versies. Deze certificaten worden uitgegeven door organisaties die bekend staan ​​als certificaatautoriteiten die standaard worden vertrouwd in browsers en besturingssystemen.

Het proces voor het uitgeven en beheren van certificaten wordt beheerst door regels die zijn gemaakt door het CA / Browser Forum, een organisatie waarvan de leden browserleveranciers en certificaatautoriteiten omvatten. Wanneer die regels worden overtreden, kunnen browser- en OS-leveranciers het vertrouwen in de inbreukmakende certificaten intrekken en de verantwoordelijke certificeringsinstanties sanctioneren, zelfs zover als ze uit hun rootcertificaten slaan.

Google zegt dat een onderzoek naar een recent incident erop wijst dat Symantec de beveiligingspraktijken die worden verwacht van certificaatautoriteiten, zoals het valideren van domeincontrole, controlelogboeken voor bewijs van ongeautoriseerde uitgifte en het minimaliseren van de mogelijkheid voor het afgeven van frauduleuze certificaten, niet heeft gehandhaafd.

Als het plan van Google in praktijk wordt gebracht, worden miljoenen bestaande Symantec-certificaten de komende 12 maanden niet vertrouwd in Google Chrome. Dit is een geleidelijk proces waarbij elke nieuwe Chrome-release een nieuwe reeks certificaten zal wantrouwen, te beginnen met Chrome 59, waardoor het vertrouwen in certificaten met een geldigheidsperiode van meer dan 33 maanden wordt ingetrokken.

Enorme druk op Symantec

Dit zal een enorme druk zetten op Symantec, omdat het bedrijf opnieuw contact moet opnemen met alle klanten, hun identiteit en het eigendom van hun domeinen opnieuw moet valideren en hun bestaande certificaten moet vervangen door nieuwe, waarschijnlijk zonder kosten.

Sommige bedrijven zullen op korte termijn problemen hebben met het vervangen van hun certificaten, omdat ze mogelijk worden gebruikt in betaalterminals en andere moeilijk te bereiken ingesloten apparaten.

Terugbetalen

Bovendien zou Symantec klanten die betaalde voor EV-certificaten moeten terugbetalen die niet langer als zodanig in Chrome worden herkend, aangezien hun waarde aanzienlijk zou worden verlaagd. Het verbod op Symantec EV-certificaten duurt ten minste één jaar.

Alle vervangende certificaten die door Symantec aan klanten worden uitgegeven, moeten een geldigheidsperiode van negen maanden of minder hebben om in Chrome te worden vertrouwd. Dit zal waarschijnlijk verdere problemen veroorzaken voor sommige grote bedrijven, die hun certificaten niet elke negen maanden eenvoudig kunnen vervangen.

Het is veilig om te zeggen dat de sancties van Google een aanzienlijk effect kunnen hebben op de SSL-activiteiten van Symantec, omdat het bedrijf waarschijnlijk klanten verliest die niet bereid zijn deze beperkingen te accepteren en hun bedrijf naar een andere certificeringsinstantie (CA) brengen. .

Verkopers van browsers hebben eerder CA’s bestraft voor het op ongeoorloofde wijze afgeven van certificaten – of het verkeerd gebruiken ervan, in de industrie – maar nooit op deze schaal en met een impact die zo groot is op het ecosysteem. Sommige mensen hebben zich altijd afgevraagd of browserverkopers echt drastische sancties kunnen opleggen tegen ‘s werelds grootste CA’s, of dat die autoriteiten gewoon te groot zijn om te falen.

De reden voor deze ongekende straf lijkt te zijn herhaalde incidenten van verkeerd uitgegeven certificaten bij Symantec die de afgelopen jaren aan het licht zijn gekomen, waarvan sommige het bedrijf niet hebben geïdentificeerd, ondanks interne en externe audits. De laatste zaak werd dit jaar ontdekt en omvatte 127 certificaten die waren uitgegeven met valse informatie of zonder de juiste verificatie van het domeinbezit door een Symantec-partner die als een registratieautoriteit (RA) werkte.

Volgens Google doet dat onderzoek afbreuk aan de geldigheid van minstens 30.000 certificaten die zijn uitgegeven door Symantec-partners in een periode van meerdere jaren. Symantec bestrijdt dat nummer echter.

“Symantec heeft ten minste vier partijen toegang verleend tot hun infrastructuur op een manier die de uitgifte van certificaten mogelijk maakt, onvoldoende toezicht hield op deze mogelijkheden zoals vereist en verwacht, en wanneer gepresenteerd met het bewijs dat deze organisaties niet voldoen aan de juiste zorgstandaard, is mislukt om dergelijke informatie tijdig bekend te maken of om het belang van de gerapporteerde problemen te identificeren, “zei Ryan Sleevi van Google in een bericht op de Chrome-website.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Fill out this field
Fill out this field
Geef een geldig e-mailadres op.
Je moet de voorwaarden accepteren voordat je het bericht kunt verzenden.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Menu
×

Hallo!

Chat met een van onze medewerkers of stuur een mail naarhelpdesk@vservs.com

× Hoe kunnen we je helpen?