Google skeptičen do Symantecovih certifikatov
Google se je odločil, da bo njegov brskalnik Chrome bistveno manj zaupal certifikatom, ki jih izdaja velikan Symantec. Za to potezo se je odločil, ker je Symantec večkrat iz malomarnosti izdajal certifikate nepravilno.
Moderni sistem zaupanja na internetu s certifikati (PKI) temelji na zaupanja vrednih krovnih overiteljih, ki jim zaupamo zaradi njihove velikosti, ugleda in nadzora. Ti izdajajo certifikate, ki potrjujejo, da je določena spletna stran res tista, za katero se izdaja. Če izdajo lažen certifikat ali jim v sistema kdo vdre in to stori v njihovem imenu, to omogoča zlorabe in napade.
Googlovi inženirji so preiskali 127 incidentov v zvezi z izdajanjem certifikatov in ugotovili, da je Symantec v zadnjih letih izdal vsaj 30.000 certifikatov nepravilno. Nepravilnosti segajo od nezadostne preveritve domene do pomanjkljivega vodenja evidence. Symantec je v preteklosti kdaj izdal tudi lažne certifikate (leta 2015 celo kar za google.com), za kar so okrivili tri zaposlene in jih odpustili, češ da so ravnali na lastno pest. Toda Symantec ni izboljšal celotnega sistema, ki bi tovrstne malverzacije preprečil.
Od verzije Chrome 61 bo Google omejeval veljavnost novih Symantecovih certifikatov na največ devet mesecev. Hkrati bodo v prihodnjih verzijah postopno skrajševali tudi veljavnost že izdanih Symantecovih certifikatov. S tem bodo prisilili imetnike Symantecovih certifikatov v pridobitev novih, lahko od istega overitelja. Google upa, da bo Symantec v vmesnem času popravil nepravilnosti pri delovanju. Mozilla, Microsoft in Apple za zdaj še ne govorijo o kakšnih podobnih načrtih.