Google hotar åtgärder mot Symantec-utgivna SSL-certifikat efter undersökta undersökningar

Google vill att Symantec ska avslöja alla certifikat som utfärdats av dess SSL-verksamhet framåt, efter vad Google anser ha en undersökt utredning om hur Symantec anställda utfärdade SSL-certifikat för domännamn som företaget inte ägde.

Webbplatsmakaren vill också att säkerhetsföretaget publicerar en detaljerad analys av hur incidenten undersöktes.

Genom förvärvet av Verisigns autentiseringsaffärsenhet 2010 , Blev Symantec en av de största certifikatmyndigheterna i världen. Sådana organisationer är betroda av webbläsare och operativsystem för att utfärda digitala certifikat till domänägare som sedan används för att kryptera onlinekommunikation.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Google upptäckte i september att Symantec hade utfärdat ett pre-certifikat för google.com utan sin kunskap. Ännu mer överraskande var att detta certifikat var en Extended Validation (EV) och därför skulle kräva omfattande verifiering av den begärande enhetens identitet och äganderätt till domänen.

Google upptäckte händelsen eftersom, som en del av sin Chrome-webbläsare politik kräver det att alla certifikatgivare lämnar de EV-certifikat som de utfärdar i ett offentligt revisionslogg som en del av ett nytt protokoll som heter Certificate Transparency (CT).

Symantec bestämde sig för att certifikaten i fråga utfärdades under produkttest och lämnade aldrig organisationen. Det skedde också flera anställda som misslyckades med att följa interna policyer.

Företagets första undersökning bestämde att 23 testcertifikat hade utfärdats för domännamn som tillhörde Google, Opera och tre andra ovannämnda organisationer.

Med endast "a några minuter av jobbet "Google kunde hitta ytterligare obehöriga certifikat som Symantec missade, vilket ifrågasatte resultaten av företagets interna revision.

Som ett svar återupptog Symantec undersökningen och avslöjade ytterligare 164 testcertifikat som den utfärdade för 76 domäner det inte ägde och 2 458 certifikat utfärdades för domäner som inte hade registrerats.

Google uppmanar nu Symantec att publicera en detaljerad analys av att den inte upptäckte alla certifikat under den ursprungliga revisionen och vill att företaget för att förklara grundorsakerna för varje kränkning av befintlig industripolitik.

Webbläsaren måste också att Symantec ska rapportera alla certifikat som den utfärdar, inte bara t han EV, till CT-loggen i framtiden.

Från och med den 1 juni 2016 börjar Google Chrome visa varningar för Symantec-utfärda certifikat som inte stöder CT, sa Google i ett blogginlägg onsdag.

Enligt sin egen rapport om händelsen planerar Symantec redan att genomföra CT för alla sina certifikat fram till slutet av året.

"Även om det inte finns några bevis för att någon skada orsakats av någon användare eller organisation, denna typ av produkttest var inte i överensstämmelse med de policyer och standarder vi åtar oss att upprätthålla, säger en Symantec-representant i ett mailat uttalande torsdag. "Vi bekräftade att dessa testcertifikat har alla upphävts eller har upphört och arbetat direkt med webbläsargemenskapen för att få dem svartlistade."

Företaget har redan lagt till ytterligare verktyg, policyer och rutiner för att förhindra att liknande incidenter uppstår i framtiden och har engagerat en tredje part för att utvärdera sin effektivitet, sade representanten.

Men Google är inte redo att ta Symantecs ord för det. Företaget vill att företaget ska genomgå en säkerhetsrevision från tredje part för att verifiera sina påståenden att inga privata nycklar i samband med testcertifikaten utsattes för Symantec-anställda, att de anställda inte kunde skapa certifikat med privata nycklar som de kontrollerade och att Symantecs revision loggar var rimligt skyddade mot manipulering.