Google обвинил Symantec в ненадлежащем шифровании интернета
28 марта 2017 года
Защищённые соединения HTTPS, используемые на банковских сайтах, страничках входа на форумы или некоторые новостные сайты, активируются центрами сертификации, которые проверяют личность владельца веб-сайта и выдают им сертификат, подтверждающий, что они являются теми, кем себя называют. Компания по разработке софта в области информационной безопасности и защиты информации Symantec, является гигантом в мире центров сертификации — её сертификаты гарантировали безопасность до 30% интернета в 2015 году. Но у Google появились основания считать, что Symantec не достаточно серьёзно относится к своим обязанностям.
По мнению Google, Symantec выдал не менее 30 000 сертификатов без надлежавшей проверки веб-сайтов, которые их получили. Это серьезное обвинение способно подорвать доверие пользователей, которые предпочитают лишь защищённые соединения. Опираясь на собственные исследования, Google анонсировал процесс недоверия к сертификатам Symantec в браузере Chrome. Та, в свою очередь, называет обвинения Google «безответственными», «преувеличенными и вводящими в заблуждение».
По словам инженера-программиста Google Райана Сливи (Ryan Sleevi), команда Google с конца января этого года изучила ряд сбоев в Symantec Corporation, касающийся правильной проверки сертификатов. В ходе этого расследования был выявлен факт постоянно увеличивающегося объёма ошибок при каждом наборе вопросов от членов команды Google. Начальный набор ошибочных сертификатов с 127 расширился и сейчас составляет, по меньшей мере, 30 000 сертификатов, выданных в течение нескольких лет — это связано с рядом отказов от предыдущего набора неверных сертификатов Symantec, который пошатнул уверенность Google в правильности политики и практики Symantec Corporation за последние несколько лет.
Чтобы исправить ситуацию, Chrome сократит время, в течение которого браузер доверяет сертификату Symantec и, со временем, будет требовать, чтобы сайты обновляли старые сертификаты Symantec на более «свежие», вызывающие доверие. Поведение Symantec, отмечает Сливи, не соответствует базовым требованиям для центра сертификации, а самое главное — создаёт «существенный риск для пользователей Google Chrome». По сведениям Google, Symantec разрешал доступ к своей инфраструктуре, позволивший выдать сертификаты, по крайней мере, четырём сторонам. Кроме того, компанией, которая отвечает за информационную безопасность, почему-то не осуществлялось достаточного надзора, как это обычно требуется в подобных случаях. А когда были предоставлены доказательства того, что этими организациями не соблюдается соответствующего стандарта обслуживания, Symantec не уделил этому вопросу должного внимания. Проблемы, которые можно назвать провалом в надзоре, охватывали период в несколько лет.
В октябре 2015 года Google обнаружил, что Symantec искажает сертификаты как для самого Google, так и для Opera Software. Symantec изучали проблеску и заявил, что все неправильно выданные сертификаты были выпущены в рамках рутинного тестирования: «Наше расследование не выявило каких-либо признаков умышленного подлога для причинения вреда кому-либо». А на прошлой неделе Symantec отозвал свои прошлые заключения, заявив при этом, что Google предвзято отнёсся к проблеме и преувеличил количество ошибочных сертификатов, которые привели к нынешней проблеме.
Сливи, в свою очередь, ответил, что Symantec состоит в партнёрстве с другими центрами сертификации — CrossCert (Korea Electronic Certificate Authority), Certisign Certificatadora Digital, Certsuperior S. de RL de CV и Certisur SA , — которые не выполнили надлежащих процедур проверки, что привело к ошибке порядка тридцати тысяч сертификатов. По его словам, Symantec знал об этом, по крайней мере — относительно одной из сторон, но не раскрыл информацию для корневых программ и не разорвал отношения с этой стороной. В итоге Symantec всё же разорвал отношения с четырьмя фирмами, связанными с появлением «нечестных» сертификатов, и поэтому Chrome всё-таки будет доверять новым сертификатам Symantec в будущем, но владельцам сайтов необходимо будет поменять старые сертификаты на новые. А пока к существующим сертификатам вступает в силу определённый «график недоверия», который будет выглядеть следующим образом:
Symantec, в свою очередь, надеется, что Google отступит и не потребует никаких изменений вообще...
Читайте также:
Бум шифрования: объём защищённого трафика в Сети перевалил за 50%
? Chrome и Firefox будут предупреждать пользователей при передаче чувствительных данных через незащищённый протокол
? Антивирусное ПО и межсетевые экраны перехватывают защищенный трафик, уменьшая безопасность интернет-соединения
? Сервисы Google всё активнее используют шифрование трафика. Лидер — YouTube, который шифрует уже 97% подключений
? ProtonMail вступает в борьбу против государственной цензуры с помощью Tor.
Источники
правитьЭта статья содержит материалы из статьи «Google обвинил Symantec в ненадлежащем шифровании интернета», опубликованной на сайте Роскомсвободы и распространяющейся на условиях лицензии Creative Commons Attribution-ShareAlike 3.0 Unported (CC BY-SA 3.0). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.