Из соображений безопасности, Chrome, Android ОС и другие продукты Google больше не будут доверять цифровым сертификатам из старого корневого сертификата Symantec.Браузер Google Chrome, Android ОС и другие продукты скоро прекратит доверять цифровым сертификатам, выпущенным из определенного корневого сертификата Symantec из-за проблем безопасности.Это означает, что Chrome и пользователи Android, которые посещают Веб-сайты, которые используют сертификаты, соединенные с запрещенным корнем, получат предупреждение, сообщающее им, на сертификат безопасности сайта нельзя положиться в целях шифрования или аутентификации.
В сообщении в блоге 11 декабря, разработчик программного обеспечения Google Райан Сливи сказал, что решение компании произошло от уведомления Symantec в начале месяца, что оно прекращало использование корневого рассматриваемого сертификата для общедоступного подписывания кода и сертификатов шифрования.В его примечании Symantec сказал, что его решение является соответствующим отраслевым методам наиболее успешной практики, что он попросил, чтобы компании браузера удалили доверие для сертификатов, выпущенных из корневых сертификатов Verisign G1. Те, которые используют эти браузеры, начнут получать сообщения об ошибках, когда они встретятся с шифрованием или сертификатом для подписывания кода, который соединяется с корнями Verisign G1, заявила компания«Symantec решил, что этот корень больше не будет соответствовать Базовым Требованиям Форума CA/Браузера», сказал Сливи, обратившись к стандартам, что центр сертификации должен встретиться для использования цифровых сертификатов. «Поскольку эти требования отражают отраслевую наиболее успешную практику и являются основой для публично доверяемых сертификатов, отказ соответствовать, они представляют недопустимый риск для пользователей продуктов Google».
В отправленном по электронной почте отчете представитель Symantec сказала, что компания попросила, чтобы поставщики браузера удалили или не доверили корневому сертификату Verisign, потому что это основывается на безопасности более низкой силы. Компания сказала, что прежний сертификат «не использовался для генерации новых сертификатов за несколько лет и будет теперь повторно ставиться целью для оказания поддержки перехода для части наследства наших корпоративных клиентов, непубличных приложений», говорилось в заявлении.
«Объявляя, что они будут блокировать этот корневой сертификат, Google указал, что они намереваются сделать точно, как мы запросили, шаг, который другие браузеры начали предпринимать в 2014».Согласно Sleevi Google, Symantec не раскрыл цели, для которых это будет продолжать использовать корень, выпущенный по сертификатам назад в 1996. Вместо этого это попросило, чтобы Google удалил и не доверил корневому сертификату.
Сливи описал сертификат, как широко доверяемый на Windows, Android и определенных версиях OS X.«Google больше не в состоянии гарантировать, что корневой сертификат или сертификаты, выпущенные из этого корневого сертификата, не будет использоваться для прерывания, разрушит, или явится олицетворением безопасной коммуникации продуктов или пользователей Google», сказал Сливи.Google дважды ранее передал свои опасения публично о безопасности выпускающего цифровой сертификат процесса Symantec. В сентябре компания сказала, что обнаружила выпущенную Symantec Расширенную Проверку «предварительный сертификат» для двух доменов Google, которые она ни не попросила, ни авторизовала. В то время Symantec объяснил выпуск как промах, который произошел во время внутреннего процесса тестирования, сказал Google.
В последующем блоге в октябре, Google сказал, что обнаружил много более сомнительных сертификатов, выпущенных Symantec, включив домены Google и других. В ответ Symantec провел аудит и раскрыл, что выпустил приблизительно 164 сертификата для 76 доменов, которые не запросили или авторизовали сертификаты. Это нашло еще 2 458 сертификатов для доменов, которые даже не были зарегистрированы.Веб-сайты используют цифровые сертификаты, чтобы аутентифицировать себя к браузерам и зашифровать связи между браузером и Веб-сайтом.
Они разработаны, чтобы гарантировать, что сайт действительно, чем он подразумевает быть. Поставивший под угрозу, или неправильно выпущенный, сертификат может использоваться, чтобы угнать трафик к Веб-сайту или явиться олицетворением законного сайта.Центры сертификации (АВАРИЯ) как Symantec ответственны за выпуск сертификатов безопасным способом и ведут списки сертификатов, которые поставились под угрозу. Но в прошлом исследователи в области безопасности нашли проблемы в процессах, окружающих использование и аннулирование цифровых сертификатов.
Недавно, исследователи в Akamai Technologies и нескольких академических учреждениях рассмотрели, как главные интернет-браузеры используют списки аннулированных сертификатов и нашли большие разрывы в способе, которым компании браузера обрабатывают такие списки и также как АВАРИЯ распределяет списки им.