fbpx

Google do Symanteca: wasze certyfikaty SSL są nieważne!

Decyzją zespołu bezpieczeństwa Google’a przeglądarka Chrome przestanie uznawać strony certyfikowane przez Symanteca za bezpieczne!

Chociaż w amerykańskim Internecie nie cichnie od kilku dni wrzawa o wojnie jaką toczą ze sobą Symantec i Google, to cała sprawa ciągnie się od października 2015 roku, kiedy to Google dowiedział się, że Symantec wystawił dla domeny Google.com certyfikat bezpieczeństwa, bez wiedzy samego zainteresowanego. Jak twierdził wtedy Symantec, były to testy, jednak wzbudziło to czujność Google’a, który natychmiast odnalazł dobre 2500 domen z podobnymi certyfikatami SSL. Sęk w tym, że domeny te nie były nawet nigdy zarejestrowane. Co to oznacza?

Prawdopodobnie były to certyfikaty nie wystawione przez Symanteca, zostały wystawione błędnie tzn bez zgody właściciela domeny, lub Symantec utracił kontrolę nad kluczami do wystawiania certyfikatów. Po co krakerom strony z „podrabianymi” certyfikatami SSL? Tego typu strony przygotowane do działań hakerskich np. jako podstawione strony banków, sklepów internetowych, w celu wyłudzenia danych płatniczych lub uskutecznienia przelewów na konta wyłudzaczy.

Google nie odpuścił całej sprawy i drążył temat przez prawie kolejne dwa lata i jak twierdzi odkrył, że problem może dotyczyć nawet 30.000 certyfikatów, chociaż odnalazł dowody w postaci mniej niż 200. Efekt to oficjalna informacja o obniżeniu wiarygodności certyfikatów wydawanych przez Symanteca. Dodajmy także, że są to jedne z najdroższych certyfikatów na rynku i występują pod kilkoma markami. Najbardziej znane to GeoTrust i Thawte. W Polsce korzysta z nich kilka banków. Oznacza to, że przez najbliższy rok banki te według przeglądarki Chrome nie będą oznaczone jako w pełni bezpieczne (tzn nie będą nosiły zielonego oznaczenia na pasku adresowym).

Zostaw odpowiedź