Artikel top billede

Google truer med at opsige godkendelse af en tredjedel af internettets SSL-certifikater: Har helt mistet tilliden til giganten Symantec

Google overvejer efter en lang række fejl at fjerne Google-Chrome-godkendelsen af SSL-certifikater fra Symantec, der er en af verdens største leverandører af HTTPS-credentials. "Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google

Google er for tiden meget utilfreds med Symantec, der er en af verdens største leverandører af HTTPS-credentials.

Symantec og selskabets certificerings-partnere har flere gange i den seneste tid uretmæssigt udstedt SSL-certifikater, og det skal stoppe nu, mener Google.

Google har derfor kort og godt mistet tilliden til Symantec som troværdig certifikat-udsteder, lyder det, og derfor rasler Google nu med sablen og har fremlangt en plan om at udskifte alle Google Chrome-brugeres cerfifikater og stoppe med at anerkende det såkaldte EV-certifikat (extended validation) fra Symantec.

Det vil i givet fald kunne ramme Symantec ganske alvorligt.

Symantec står bag omkring hver tredje udstedte SSL-certifikat, der anvendes på nettet.

SSL/TSL-certifikater anvendes til at kryptere forbindelsen mellem browser og HTTPS-baserede websites, ligesom de anvendes til at sikre, at brugeren besøger det rigtige site og ikke en spøgelseskopi, som anvendes til at lokke data ud af dem.

Efter forskellige opkøb gennem årene kontrollerer Symantec root-certifikaterne fra selskaber som VeriSign, GeoTrust, Thawte, RapidSSL og flere andre og er dermed verdens største kommercielle udbyder af SSL-certifikater.

Google mener, at Symantec fejlagtigt har udstedt mere end 30.000 certifikater...

Udstedelsen af certifikater styres af et regelsæt formuleret i det såkaldte CA/Browser Forum, hvis medlemmer tæller både browser-leverandører og certifikat-udstedere.

Har sjusket og forsømt

Ifølge Google har Symantec sjusket med de sikkerheds-foranstaltninger og kontrol-processer, som forventes af en certifikat-udsteder. De tæller processer inden for eksempelvis validering, log-gennemgang og sikring mod udstedelse af falske certifikater.

Gennemfører Google denne plan, vil det betyde, at millioner af certifikater udstedt af Symantec vil miste deres godkendelse i Google Chrome i løbet af det kommende år.

Det vil tage så langt tid, fordi det er en løbende proces, hvor en gruppe certifikater vil miste godkendelse hver gang en ny Chrome-version lanceres.

Du kan læse mere om Googles planer i denne tråd på Google Groups: Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates.

Sker det, vil Symantec være nødt til at kontakte samtlige kunder, validere deres identitet og deres domæner helt forfra og dernæst erstatte deres eksisterende certifikater med nye.

Det siger sig selv, at det er en enorm opgave. Og Symantec vil ikke kunne opkræve betaling for den.

Senest er det kommet frem, at Symantec har udstedt 127 certifikater med falske data og uden verifikation af ejerskabet over domænet.

"Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google.

Symantec protesterer ikke overraskende mod Googles trusler. Symantec betegner Googles beskyldninger som ‘overdrevne, uansvarlige og misvisende."

"Beskyldningerne om de 30.000 certifikater er ikke sande," lyder det fra selskabet.

Mozilla, der har sin eget root-certifikat.-program, overvejer at følge med Google i ophævelsen af godkendelserne i selskabets browser, Firefox.

Læs også:

Browser-producenter har fået nok: Vil blokere for håbløst forældet sikkerheds-teknologi

Gratis kryptering på vej til en million hjemmesider

11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Google strammer søge-algoritmen yderligere: Det skal være helt slut med usikre websider

Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen




IT-JOB

Styrelsen for Arbejdsmarked og Rekruttering

IT Operations Manager

Capgemini Danmark A/S

Senior Test Manager

Unik System Design A/S

Agil QA Engineer til DevOps udvikling
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Can AI bring value to your business?

You will learn how AI has been successfully used to enhance an existing business where artificial intelligence is deployed to work complementary to natural intelligence in a complex data process. And you will be presented with a business case where AI provides the possibilities of creating a completely new business platform, that would not otherwise have been possible.

08. december 2021 | Læs mere


Sådan styrker du din forsyningskæde gennem digitalisering

I dette webinar bygger CGI's eksperter bro mellem de overordnede, strategiske aspekter af den digitale værdikæde og mere konkret de nye muligheder, Intelligent Order Management til Microsoft Dynamics 365 FO byder på.

09. december 2021 | Læs mere


AI - bliv klogere på de kloge algoritmer

Kunstig intelligens, machine learning og algoritmer er i fuld gang med at forandre måden, hvorpå vi arbejder og driver virksomhed. Der er imidlertid mange teknologiske, forretningsmæssige, strategiske, ledelsesmæssige og organisatoriske overvejelser, der er helt nødvendige, hvis man skal have succes med kunstig intelligens. Hør blandt andet om, hvordan du kommer godt igang med AI og machine learning

14. december 2021 | Læs mere