Google truer med at opsige godkendelse af en tredjedel af internettets SSL-certifikater: Har helt mistet tilliden til giganten Symantec

Google overvejer efter en lang række fejl at fjerne Google-Chrome-godkendelsen af SSL-certifikater fra Symantec, der er en af verdens største leverandører af HTTPS-credentials. "Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google

Google er for tiden meget utilfreds med Symantec, der er en af verdens største leverandører af HTTPS-credentials.

Symantec og selskabets certificerings-partnere har flere gange i den seneste tid uretmæssigt udstedt SSL-certifikater, og det skal stoppe nu, mener Google.

Google har derfor kort og godt mistet tilliden til Symantec som troværdig certifikat-udsteder, lyder det, og derfor rasler Google nu med sablen og har fremlangt en plan om at udskifte alle Google Chrome-brugeres cerfifikater og stoppe med at anerkende det såkaldte EV-certifikat (extended validation) fra Symantec.

Det vil i givet fald kunne ramme Symantec ganske alvorligt.

Symantec står bag omkring hver tredje udstedte SSL-certifikat, der anvendes på nettet.

SSL/TSL-certifikater anvendes til at kryptere forbindelsen mellem browser og HTTPS-baserede websites, ligesom de anvendes til at sikre, at brugeren besøger det rigtige site og ikke en spøgelseskopi, som anvendes til at lokke data ud af dem.

Efter forskellige opkøb gennem årene kontrollerer Symantec root-certifikaterne fra selskaber som VeriSign, GeoTrust, Thawte, RapidSSL og flere andre og er dermed verdens største kommercielle udbyder af SSL-certifikater.

Google mener, at Symantec fejlagtigt har udstedt mere end 30.000 certifikater...

Udstedelsen af certifikater styres af et regelsæt formuleret i det såkaldte CA/Browser Forum, hvis medlemmer tæller både browser-leverandører og certifikat-udstedere.

Har sjusket og forsømt
Ifølge Google har Symantec sjusket med de sikkerheds-foranstaltninger og kontrol-processer, som forventes af en certifikat-udsteder. De tæller processer inden for eksempelvis validering, log-gennemgang og sikring mod udstedelse af falske certifikater.

Gennemfører Google denne plan, vil det betyde, at millioner af certifikater udstedt af Symantec vil miste deres godkendelse i Google Chrome i løbet af det kommende år.

Det vil tage så langt tid, fordi det er en løbende proces, hvor en gruppe certifikater vil miste godkendelse hver gang en ny Chrome-version lanceres.

Du kan læse mere om Googles planer i denne tråd på Google Groups: Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates.

Sker det, vil Symantec være nødt til at kontakte samtlige kunder, validere deres identitet og deres domæner helt forfra og dernæst erstatte deres eksisterende certifikater med nye.

Det siger sig selv, at det er en enorm opgave. Og Symantec vil ikke kunne opkræve betaling for den.

Senest er det kommet frem, at Symantec har udstedt 127 certifikater med falske data og uden verifikation af ejerskabet over domænet.

"Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google.

Symantec protesterer ikke overraskende mod Googles trusler. Symantec betegner Googles beskyldninger som ‘overdrevne, uansvarlige og misvisende."

"Beskyldningerne om de 30.000 certifikater er ikke sande," lyder det fra selskabet.

Mozilla, der har sin eget root-certifikat.-program, overvejer at følge med Google i ophævelsen af godkendelserne i selskabets browser, Firefox.

Læs også:

Browser-producenter har fået nok: Vil blokere for håbløst forældet sikkerheds-teknologi

Gratis kryptering på vej til en million hjemmesider

11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Google strammer søge-algoritmen yderligere: Det skal være helt slut med usikre websider

Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen







Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Årets CIO 2020

Siden 2006 har vi hvert år kåret Årets CIO - en pris der kaster lys over det fantastiske arbejde, der bliver gjort rundt omkring i de danske organisationer for at høste det store forretnings-potentiale, der kan drives ud af it og digitalisering.

01. december 2020 | Læs mere


Customer Experience 2021 - fokus på CX-strategi og teknologi til at forankre kundeoplevelsen

De gode kundeoplevelser er altafgørende for virksomheden, og netop derfor er det nødvendigt at have fokus på CX-strategi og teknologi, der kan være med til at forbedre kundeoplevelsen endnu mere. Det kræver tid og ressourcer, men det gavner hele virksomheden på lang sigt.

03. december 2020 | Læs mere


Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere





mest debatterede artikler

Premium
Se kortet: Disse steder i Danmark er der ingen mobildækning
Danmark har generelt god mobildækning sammenlignet med andre lande, alligevel er der fortsat områder uden dækning. Se dem her.
Computerworld
Stein Bagger gør comeback i ny branche: "De lignede et mafiahold, førte sig frem som nyrige og plaprede løs om urealistiske drømme"
Stein Bagger har skiftet navn og fører sig nu frem i store biler i en helt ny branche, skriver en dansk avis.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Hyperkonvergeret infrastruktur: Få det bedste fra on-premise og cloud
Det står stadig mere klart, at cloud ikke er løsningen på alle udfordringer. Høje og ofte uigennemskuelige omkostninger er én årsag – omfattende krav til standardisering er en anden. Det efterlader organisationen i et limbo, hvor det kan være svært at finde den rette balance mellem cloudløsninger og det on-premise baserede datacenter. I denne hvidbog kan du få inspiration til, hvordan du opbygger en hyperkonvergeret infrastruktur, der opfylder kravene til hurtig skalering og forretningsmæssig agilitet med XaaS.