Artikel top billede

Google truer med at opsige godkendelse af en tredjedel af internettets SSL-certifikater: Har helt mistet tilliden til giganten Symantec

Google overvejer efter en lang række fejl at fjerne Google-Chrome-godkendelsen af SSL-certifikater fra Symantec, der er en af verdens største leverandører af HTTPS-credentials. "Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google

Google er for tiden meget utilfreds med Symantec, der er en af verdens største leverandører af HTTPS-credentials.

Symantec og selskabets certificerings-partnere har flere gange i den seneste tid uretmæssigt udstedt SSL-certifikater, og det skal stoppe nu, mener Google.

Google har derfor kort og godt mistet tilliden til Symantec som troværdig certifikat-udsteder, lyder det, og derfor rasler Google nu med sablen og har fremlangt en plan om at udskifte alle Google Chrome-brugeres cerfifikater og stoppe med at anerkende det såkaldte EV-certifikat (extended validation) fra Symantec.

Det vil i givet fald kunne ramme Symantec ganske alvorligt.

Symantec står bag omkring hver tredje udstedte SSL-certifikat, der anvendes på nettet.

SSL/TSL-certifikater anvendes til at kryptere forbindelsen mellem browser og HTTPS-baserede websites, ligesom de anvendes til at sikre, at brugeren besøger det rigtige site og ikke en spøgelseskopi, som anvendes til at lokke data ud af dem.

Efter forskellige opkøb gennem årene kontrollerer Symantec root-certifikaterne fra selskaber som VeriSign, GeoTrust, Thawte, RapidSSL og flere andre og er dermed verdens største kommercielle udbyder af SSL-certifikater.

Google mener, at Symantec fejlagtigt har udstedt mere end 30.000 certifikater...

Udstedelsen af certifikater styres af et regelsæt formuleret i det såkaldte CA/Browser Forum, hvis medlemmer tæller både browser-leverandører og certifikat-udstedere.

Har sjusket og forsømt

Ifølge Google har Symantec sjusket med de sikkerheds-foranstaltninger og kontrol-processer, som forventes af en certifikat-udsteder. De tæller processer inden for eksempelvis validering, log-gennemgang og sikring mod udstedelse af falske certifikater.

Gennemfører Google denne plan, vil det betyde, at millioner af certifikater udstedt af Symantec vil miste deres godkendelse i Google Chrome i løbet af det kommende år.

Det vil tage så langt tid, fordi det er en løbende proces, hvor en gruppe certifikater vil miste godkendelse hver gang en ny Chrome-version lanceres.

Du kan læse mere om Googles planer i denne tråd på Google Groups: Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates.

Sker det, vil Symantec være nødt til at kontakte samtlige kunder, validere deres identitet og deres domæner helt forfra og dernæst erstatte deres eksisterende certifikater med nye.

Det siger sig selv, at det er en enorm opgave. Og Symantec vil ikke kunne opkræve betaling for den.

Senest er det kommet frem, at Symantec har udstedt 127 certifikater med falske data og uden verifikation af ejerskabet over domænet.

"Google har ikke længere tillid til Symantecs certifikat-udstedelses-politik og - praksis," lyder det fra Google.

Symantec protesterer ikke overraskende mod Googles trusler. Symantec betegner Googles beskyldninger som ‘overdrevne, uansvarlige og misvisende."

"Beskyldningerne om de 30.000 certifikater er ikke sande," lyder det fra selskabet.

Mozilla, der har sin eget root-certifikat.-program, overvejer at følge med Google i ophævelsen af godkendelserne i selskabets browser, Firefox.

Læs også:

Browser-producenter har fået nok: Vil blokere for håbløst forældet sikkerheds-teknologi

Gratis kryptering på vej til en million hjemmesider

11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Google strammer søge-algoritmen yderligere: Det skal være helt slut med usikre websider

Ubehagelig SSL-sårbarhed griber om sig: 25.000 iOS-apps er i farezonen




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
TIETOEVRY DENMARK A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere