Os desenvolvedores do navegador Google Chrome
anunciaram um plano para eliminar gradualmente a confiança e a reemissão de certificados SSL antigos da Symantec, o cancelamento do status de VE, além de reduzir a validade de certificados futuros para ≤9 meses. Isso é o resultado de uma investigação de incidentes com certificados emitidos sem a permissão dos proprietários e com as práticas atuais da empresa.
A investigação do Google durou dois meses, de janeiro a março de 2017. Quanto mais durava, mais perguntas surgiam para a Symantec e revelavam violações na emissão de certificados. A
história de 2015 , quando a Symantec emitiu arbitrariamente um certificado para os domínios do Google, Opera e várias outras organizações, ainda não foi apagada.
A Symantec explicou suas ações da seguinte maneira: “Um pequeno número de certificados de teste foi emitido incorretamente para uso interno durante o teste. Todos esses certificados e chaves de teste estavam sob nosso controle o tempo todo e foram imediatamente revogados quando descobrimos o problema. Não houve impacto em nenhum domínio e nenhum perigo para a Internet. ” Os funcionários que violaram as políticas e cometeram o incidente foram demitidos.
No entanto, a
auditoria revelou 187 certificados para domínios existentes emitidos sem o conhecimento dos proprietários e 2458 certificados para domínios inexistentes.
Após esse incidente, ficou claro que a Symantec era muito ruim em segurança. O Google exigiu a adoção de várias medidas, incluindo o suporte a todos os novos certificados com a estrutura de
Transparência de certificados , a realização de uma auditoria adicional, a publicação de um relatório de incidente e a contratação de auditores independentes.
Pouco mais de um ano se passou desde o último incidente - e agora o Google voltou à autoridade de certificação culpada da Symantec para verificar sua conformidade com a
Política de Certificação Raiz no navegador Chrome.
Desde o início, ficou claro que as coisas na empresa não haviam melhorado muito. No início da investigação, um conjunto inicial de 127 certificados foi considerado, mas, à luz das violações reveladas, ele foi expandido para 30.000 peças emitidas ao longo de vários anos.
O Google formulou os resultados da investigação da seguinte forma: “Não temos mais confiança nas regras e práticas para emitir certificados da Symantec nos últimos anos. Para restaurar a confiança e a segurança de nossos usuários, oferecemos as seguintes etapas:
- Reduza o período de validade reconhecido dos certificados Symantec recém-emitidos para nove meses ou menos para minimizar o impacto nos usuários do Google Chrome de qualquer outra emissão incorreta que possa ocorrer.
- Uma negação gradual da confiança, cobrindo várias edições do Google Chrome para todos os certificados da Symantec emitidos anteriormente, que exigem confirmação e substituição.
- Recusa em reconhecer o status de EV (Validação estendida) para certificados emitidos pela Symantec, até que a comunidade tenha confiança nas regras e práticas da Symantec, mas não antes de um ano. "
A redução gradual no período de validade reconhecido dos certificados Symantec recém-emitidos é proposta para ser implementada da seguinte maneira:
- Chrome 59 (desenvolvedor, beta, estável): 33 meses (1023 dias)
- Chrome 60 (desenvolvedor, beta, estável): 27 meses (837 dias)
- Chrome 61 (desenvolvedor, beta, estável): 21 meses (651 dias)
- Chrome 62 (desenvolvedor, beta, estável): 15 meses (465 dias)
- Chrome 63 (Dev, Beta): 9 meses (279 dias)
- Chrome 63 (estável): 15 meses (465 dias) - esta versão sai durante as férias de Natal, quando muitas empresas têm um fim de semana
- Chrome 64 (desenvolvedor, beta, estável): 9 meses (279 dias)
Segundo o Google, essas medidas "garantirão que o nível de garantia dos certificados da Symantec atenda às expectativas do Google Chrome e do ecossistema, e que os riscos de violações passadas e futuras sejam minimizados o máximo possível".
Você precisa entender que a Symantec é uma das maiores autoridades de certificação da Internet. Portanto, em janeiro de 2015, mais de 30% de todos os certificados na Web foram emitidos precisamente por esses centros. É verdade que houve mudanças significativas desde então. Agora, o líder é a Comodo, com 42,7%, enquanto a participação da Symantec
caiu para 15,4% .
Referências:Certificados raiz da Symantec