Artikel top billede

Google truer med at opsige godkendelse af en tredjedel af internettets SSL-certifikater: Har helt mistet tilliden til giganten Symantec

Google overvejer efter en lang række fejl at fjerne Google-Chrome-godkendelsen af SSL-certifikater fra Symantec, der er en af verdens største leverandører af HTTPS-credentials. "Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google

Google er for tiden meget utilfreds med Symantec, der er en af verdens største leverandører af HTTPS-credentials.

Symantec og selskabets certificerings-partnere har flere gange i den seneste tid uretmæssigt udstedt SSL-certifikater, og det skal stoppe nu, mener Google.

Google har derfor kort og godt mistet tilliden til Symantec som troværdig certifikat-udsteder, lyder det, og derfor rasler Google nu med sablen og har fremlangt en plan om at udskifte alle Google Chrome-brugeres cerfifikater og stoppe med at anerkende det såkaldte EV-certifikat (extended validation) fra Symantec.

Det vil i givet fald kunne ramme Symantec ganske alvorligt.

Symantec står bag omkring hver tredje udstedte SSL-certifikat, der anvendes på nettet.

SSL/TSL-certifikater anvendes til at kryptere forbindelsen mellem browser og HTTPS-baserede websites, ligesom de anvendes til at sikre, at brugeren besøger det rigtige site og ikke en spøgelseskopi, som anvendes til at lokke data ud af dem.

Efter forskellige opkøb gennem årene kontrollerer Symantec root-certifikaterne fra selskaber som VeriSign, GeoTrust, Thawte, RapidSSL og flere andre og er dermed verdens største kommercielle udbyder af SSL-certifikater.

Google mener, at Symantec fejlagtigt har udstedt mere end 30.000 certifikater...

Udstedelsen af certifikater styres af et regelsæt formuleret i det såkaldte CA/Browser Forum, hvis medlemmer tæller både browser-leverandører og certifikat-udstedere.

Har sjusket og forsømt

Ifølge Google har Symantec sjusket med de sikkerheds-foranstaltninger og kontrol-processer, som forventes af en certifikat-udsteder. De tæller processer inden for eksempelvis validering, log-gennemgang og sikring mod udstedelse af falske certifikater.

Gennemfører Google denne plan, vil det betyde, at millioner af certifikater udstedt af Symantec vil miste deres godkendelse i Google Chrome i løbet af det kommende år.

Det vil tage så langt tid, fordi det er en løbende proces, hvor en gruppe certifikater vil miste godkendelse hver gang en ny Chrome-version lanceres.

Du kan læse mere om Googles planer i denne tråd på Google Groups: Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates.

Sker det, vil Symantec være nødt til at kontakte samtlige kunder, validere deres identitet og deres domæner helt forfra og dernæst erstatte deres eksisterende certifikater med nye.

Det siger sig selv, at det er en enorm opgave. Og Symantec vil ikke kunne opkræve betaling for den.

Senest er det kommet frem, at Symantec har udstedt 127 certifikater med falske data og uden verifikation af ejerskabet over domænet.

"Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google.

Symantec protesterer ikke overraskende mod Googles trusler. Symantec betegner Googles beskyldninger som ‘overdrevne, uansvarlige og misvisende."

"Beskyldningerne om de 30.000 certifikater er ikke sande," lyder det fra selskabet.

Mozilla, der har sin eget root-certifikat.-program, overvejer at følge med Google i ophævelsen af godkendelserne i selskabets browser, Firefox.

Læs også:

Browser-producenter har fået nok: Vil blokere for håbløst forældet sikkerheds-teknologi

Gratis kryptering på vej til en million hjemmesider

11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Google strammer søge-algoritmen yderligere: Det skal være helt slut med usikre websider

Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

23. april 2024 | Læs mere


AI Business Excellence Day – sådan folder du mulighederne ud

Mange danske virksomheder har eksperimenteret med AI-projekter af begrænset omfang, men kun de færreste har for alvor udforsket mulighederne i storskala. Det gør vi her! Du vil blandt andet få mulighed for at se eksempler på, hvordan AI kan anvendes som accelerator i storskala og skubber til grænserne for, hvordan det er muligt at integrere teknologien, så potentialet for alvor foldes ud.

24. april 2024 | Læs mere


Unbreakable - sådan sikrer du dig vedvarende og uafbrudt adgang til dine data

Vi dykker ned i værdien af en stabil og pålidelig storage-platform og hvilke muligheder der findes, for at sikre den højeste grad af redundans og tilgængelighed. Områder som date-beskyttelse og cyber-sikkerhed vil også blive berørt.

25. april 2024 | Læs mere