Geekly articles weekly

Google a perdu confiance dans les certificats Symantec



Les développeurs du navigateur Google Chrome ont annoncé un plan pour éliminer progressivement la confiance et la réémission des anciens certificats SSL Symantec, l'annulation du statut EV, ainsi que la réduction de la validité des futurs certificats à ≤9 mois. Ceci est le résultat d'une enquête sur des incidents avec des certificats qui ont été délivrés sans l'autorisation des propriétaires et les pratiques actuelles de l'entreprise.

L'enquête Google a duré deux mois de janvier à mars 2017. Plus cela durait, plus Symantec posait de questions et révélait des violations dans la délivrance des certificats. L' histoire de 2015 , lorsque Symantec a arbitrairement délivré un certificat pour les domaines de Google, Opera et plusieurs autres organisations, n'a pas encore été effacée.

Symantec a ensuite expliqué ses actions comme suit: «Un petit nombre de certificats de test ont été émis de manière incorrecte pour une utilisation interne pendant les tests. Tous ces certificats et clés de test étaient sous notre contrôle tout le temps et ont été immédiatement révoqués lorsque nous avons appris le problème. Il n'y a eu aucun impact sur aucun domaine et aucun danger pour Internet. » Les employés qui ont violé les politiques et commis l'incident ont été licenciés.

Cependant, l' audit a révélé 187 certificats pour des domaines existants émis à l'insu des propriétaires, et 2 458 certificats pour des domaines inexistants.

Après cet incident, il est devenu clair que Symantec était très mauvais en matière de sécurité. Google a exigé qu'il prenne un certain nombre de mesures, notamment la prise en charge de tous les nouveaux certificats avec le cadre de transparence des certificats , la réalisation d'un audit supplémentaire, la publication d'un rapport d'incident et l'engagement d'engagements d'auditeurs indépendants.

Un peu plus d'un an s'est écoulé depuis le dernier incident - et maintenant Google est de nouveau retourné à l'autorité de certification coupable Symantec pour vérifier sa conformité avec la politique de certificat racine dans le navigateur Chrome.

Dès le début, il est devenu clair que la situation dans l'entreprise ne s'était pas beaucoup améliorée. Au début de l'enquête, un premier jeu de 127 certificats a été envisagé, mais à la lumière des violations révélées, il a été étendu à 30 000 pièces délivrées sur plusieurs années.

Google a formulé les résultats de l'enquête comme suit: «Nous n'avons plus confiance dans les règles et pratiques pour l'émission de certificats Symantec au cours des dernières années. Pour restaurer la confiance et la sécurité de nos utilisateurs, nous proposons les étapes suivantes:

  • Réduisez la période de validité reconnue des certificats Symantec nouvellement émis à neuf mois ou moins pour minimiser tout impact sur les utilisateurs de Google Chrome de toute autre émission incorrecte qui pourrait se produire.
  • Un déni de confiance progressif couvrant plusieurs éditions de Google Chrome à tous les certificats Symantec précédemment émis nécessitant une nouvelle confirmation et un remplacement.
  • Refus de reconnaître le statut EV (Extended Validation) pour les certificats émis par Symantec, jusqu'à ce que la communauté soit confiante dans les règles et pratiques de Symantec, mais pas avant 1 an. "

La réduction progressive de la période de validité reconnue des certificats Symantec nouvellement émis devrait être mise en œuvre comme suit:

  • Chrome 59 (Dev, Beta, Stable): 33 mois (1023 jours)
  • Chrome 60 (Dev, Beta, Stable): 27 mois (837 jours)
  • Chrome 61 (Dev, Beta, Stable): 21 mois (651 jours)
  • Chrome 62 (Dev, Beta, Stable): 15 mois (465 jours)
  • Chrome 63 (Dev, Beta): 9 mois (279 jours)
  • Chrome 63 (stable): 15 mois (465 jours) - cette version sort pendant les vacances de Noël, lorsque de nombreuses entreprises ont un week-end
  • Chrome 64 (Dev, Beta, Stable): 9 mois (279 jours)

Selon Google, ces mesures "garantiront que le niveau de garantie des certificats Symantec répond aux attentes de Google Chrome et de l'écosystème, et que les risques de violations passées et futures possibles soient minimisés autant que possible".

Vous devez comprendre que Symantec est l'une des plus grandes autorités de certification sur Internet. Ainsi, en janvier 2015, plus de 30% de tous les certificats sur le Web ont été délivrés précisément par ces centres. Certes, il y a eu des changements importants depuis lors. Maintenant, le leader est Comodo avec 42,7%, tandis que la part de Symantec est tombée à 15,4% .

Références:
Certificats racine Symantec

Source: https://habr.com/ru/post/fr402533/

More articles:


All Articles