Artikel top billede

Google truer med at opsige godkendelse af en tredjedel af internettets SSL-certifikater: Har helt mistet tilliden til giganten Symantec

Google overvejer efter en lang række fejl at fjerne Google-Chrome-godkendelsen af SSL-certifikater fra Symantec, der er en af verdens største leverandører af HTTPS-credentials. "Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google

Google er for tiden meget utilfreds med Symantec, der er en af verdens største leverandører af HTTPS-credentials.

Symantec og selskabets certificerings-partnere har flere gange i den seneste tid uretmæssigt udstedt SSL-certifikater, og det skal stoppe nu, mener Google.

Google har derfor kort og godt mistet tilliden til Symantec som troværdig certifikat-udsteder, lyder det, og derfor rasler Google nu med sablen og har fremlangt en plan om at udskifte alle Google Chrome-brugeres cerfifikater og stoppe med at anerkende det såkaldte EV-certifikat (extended validation) fra Symantec.

Det vil i givet fald kunne ramme Symantec ganske alvorligt.

Symantec står bag omkring hver tredje udstedte SSL-certifikat, der anvendes på nettet.

SSL/TSL-certifikater anvendes til at kryptere forbindelsen mellem browser og HTTPS-baserede websites, ligesom de anvendes til at sikre, at brugeren besøger det rigtige site og ikke en spøgelseskopi, som anvendes til at lokke data ud af dem.

Efter forskellige opkøb gennem årene kontrollerer Symantec root-certifikaterne fra selskaber som VeriSign, GeoTrust, Thawte, RapidSSL og flere andre og er dermed verdens største kommercielle udbyder af SSL-certifikater.

Google mener, at Symantec fejlagtigt har udstedt mere end 30.000 certifikater...

Udstedelsen af certifikater styres af et regelsæt formuleret i det såkaldte CA/Browser Forum, hvis medlemmer tæller både browser-leverandører og certifikat-udstedere.

Har sjusket og forsømt

Ifølge Google har Symantec sjusket med de sikkerheds-foranstaltninger og kontrol-processer, som forventes af en certifikat-udsteder. De tæller processer inden for eksempelvis validering, log-gennemgang og sikring mod udstedelse af falske certifikater.

Gennemfører Google denne plan, vil det betyde, at millioner af certifikater udstedt af Symantec vil miste deres godkendelse i Google Chrome i løbet af det kommende år.

Det vil tage så langt tid, fordi det er en løbende proces, hvor en gruppe certifikater vil miste godkendelse hver gang en ny Chrome-version lanceres.

Du kan læse mere om Googles planer i denne tråd på Google Groups: Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates.

Sker det, vil Symantec være nødt til at kontakte samtlige kunder, validere deres identitet og deres domæner helt forfra og dernæst erstatte deres eksisterende certifikater med nye.

Det siger sig selv, at det er en enorm opgave. Og Symantec vil ikke kunne opkræve betaling for den.

Senest er det kommet frem, at Symantec har udstedt 127 certifikater med falske data og uden verifikation af ejerskabet over domænet.

"Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google.

Symantec protesterer ikke overraskende mod Googles trusler. Symantec betegner Googles beskyldninger som ‘overdrevne, uansvarlige og misvisende."

"Beskyldningerne om de 30.000 certifikater er ikke sande," lyder det fra selskabet.

Mozilla, der har sin eget root-certifikat.-program, overvejer at følge med Google i ophævelsen af godkendelserne i selskabets browser, Firefox.

Læs også:

Browser-producenter har fået nok: Vil blokere for håbløst forældet sikkerheds-teknologi

Gratis kryptering på vej til en million hjemmesider

11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Google strammer søge-algoritmen yderligere: Det skal være helt slut med usikre websider

Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere


Identity & Access Management - sådan holder du din virksomhed sikker

God styring af brugerrettigheder er en af de mest effektive måder til at højne it-sikkerheden. For det kan hurtigt gå galt, hvis system-rettigheder, system-adgang og lignende ikke hele tiden opdateres. Kom og hør om erfaringer og muligheder til hurtigt og nemt hele tiden at sikre, at der er styr på brugerrettighederne i hele din organisation- også uden at genere brugerne.

08. december 2022 | Læs mere