أعلن مطورو متصفح Google Chrome
عن خطة للتخلص التدريجي من الثقة وإعادة إصدار شهادات Symantec SSL القديمة ، وإلغاء حالة EV ، وكذلك تقليل صلاحية الشهادات المستقبلية إلى ≤9 أشهر. هذا نتيجة تحقيق في حوادث شهادات تم إصدارها بدون إذن أصحابها ، والممارسات الحالية في الشركة.
استمر تحقيق Google شهرين من يناير إلى مارس 2017. وكلما طال أمده ، ظهرت المزيد من الأسئلة لشركة Symantec وكشفت الانتهاكات في إصدار الشهادات. لم يتم محو
تاريخ عام 2015 ، عندما أصدرت سيمانتك بشكل تعسفي شهادة لنطاقات Google و Opera والعديد من المنظمات الأخرى.
ثم أوضحت سيمانتك إجراءاتها على النحو التالي: "تم إصدار عدد صغير من شهادات الاختبار بشكل غير صحيح للاستخدام الداخلي أثناء الاختبار. كانت جميع شهادات الاختبار والمفاتيح هذه تحت سيطرتنا طوال الوقت وتم إلغاؤها على الفور عندما علمنا بالمشكلة. لم يكن هناك أي تأثير على أي مجالات ولا يوجد خطر على الإنترنت ". تم فصل الموظفين الذين انتهكوا السياسات وارتكبوا الحادث.
ومع ذلك ، كشفت
المراجعة عن 187 شهادة للنطاقات الحالية الصادرة بدون علم أصحابها ، و 2458 شهادة للنطاقات غير الموجودة.
بعد ذلك الحادث ، أصبح من الواضح أن سيمانتيك كانت سيئة للغاية في الأمن. طالبت Google بأن تتخذ عددًا من الإجراءات ، بما في ذلك دعم جميع الشهادات الجديدة مع إطار عمل
شهادة الشفافية ، وإجراء تدقيق إضافي ، ونشر تقرير عن الحادث ، وإشراك مدققين مستقلين.
لقد مر أكثر من عام بقليل منذ الحادث الأخير - والآن عادت Google مرة أخرى إلى المرجع المصدق لـ Symantec للتحقق من امتثالها
لسياسة شهادة الجذر في متصفح Chrome.
منذ البداية ، أصبح من الواضح أن الأمور في الشركة لم تتحسن كثيرًا. في بداية التحقيق ، تم النظر في مجموعة أولية من 127 شهادة ، ولكن في ضوء الانتهاكات التي تم الكشف عنها ، تم توسيعها إلى 30،000 قطعة تم إصدارها على مدى عدة سنوات.
صاغت Google نتائج التحقيق على النحو التالي: "لم يعد لدينا ثقة في القواعد والممارسات لإصدار شهادات Symantec على مدار السنوات القليلة الماضية. لاستعادة الثقة والأمن لمستخدمينا ، نقدم الخطوات التالية:
- قلل فترة الصلاحية المعترف بها لشهادات Symantec التي تم إصدارها حديثًا إلى تسعة أشهر أو أقل لتقليل أي تأثير على مستخدمي Google Chrome من أي إصدار آخر غير صحيح قد يحدث.
- إنكار تدريجي للثقة يغطي العديد من إصدارات Google Chrome لجميع شهادات Symantec التي تم إصدارها مسبقًا والتي تتطلب إعادة التأكيد والاستبدال.
- رفض الاعتراف بحالة EV (التحقق الممتد) للشهادات الصادرة عن Symantec ، حتى يثق المجتمع في قواعد وممارسات Symantec ، ولكن ليس قبل عام واحد ".
يُقترح تنفيذ التخفيض التدريجي في فترة الصلاحية المعترف بها لشهادات Symantec الصادرة حديثًا على النحو التالي:
- Chrome 59 (Dev ، Beta ، Stable): 33 شهرًا (1023 يومًا)
- Chrome 60 (Dev و Beta و Stable): 27 شهرًا (837 يومًا)
- Chrome 61 (Dev و Beta و Stable): 21 شهرًا (651 يومًا)
- Chrome 62 (Dev ، Beta ، Stable): 15 شهرًا (465 يومًا)
- Chrome 63 (Dev ، Beta): 9 أشهر (279 يومًا)
- Chrome 63 (مستقر): 15 شهرًا (465 يومًا) - يأتي هذا الإصدار خلال عطلة عيد الميلاد ، عندما يكون لدى العديد من الشركات عطلة نهاية أسبوع
- Chrome 64 (Dev و Beta و Stable): 9 شهور (279 يومًا)
وفقًا لـ Google ، فإن هذه الإجراءات "ستضمن أن مستوى ضمان شهادات Symantec يلبي توقعات Google Chrome والنظام البيئي ، وأن يتم تقليل مخاطر الانتهاكات السابقة والمحتملة قدر الإمكان".
عليك أن تفهم أن Symantec هي واحدة من أكبر المراجع المصدقة على الإنترنت. لذلك ، في يناير 2015 ، تم إصدار أكثر من 30 ٪ من جميع الشهادات على الويب بدقة من قبل هذه المراكز. صحيح أن هناك تغييرات كبيرة منذ ذلك الحين. والآن أصبح كومودو هو القائد بنسبة 42.7٪ ، بينما
انخفضت حصة سيمانتيك
إلى 15.4٪ .
المراجع:شهادات الجذر سيمانتيك