Google woedend op enorme TLS-faal van Symantec

'Wilde' certificaten in omloop.

Google heeft Symantec een ultimatum gesteld waarin het beveiligingsbedrijf moet uitleggen hoe het komt dat het lange tijd ongeautoriseerde TLS-certificaten heeft uitgegeven en de omvang daarvan niet eens kon becijferen. Chrome gaat mogelijk certificaten van Symantec blokkeren.

Symantect blijkt als officiële Certificate Authority lange tijd certificaten te hebben uitgegeven die nergens geregistreerd werden. Daardoor konden gebruikers van die certificaten Google-namaaksites maken die gebruik leken te maken van een veilige https-verbinding. Symantec heeft inmiddels de groep werknemers die daarvoor verantwoordelijk waren ontslagen.




Naar nu blijkt heeft Symantec het probleem in de afgelopen weken schromelijk onderschat. In eerste instantie werd gezegd dat er iets meer dan 23 wilde certificaten waren uitgegeven, maar Google zelf vond daarvan een veelvoud. Nu wil Google van Symantec weten hoe het mogelijk is dat het het bedrijf niet in staat is die certificaten te achterhalen terwijl het Google wel is gelukt.

Google draait Symantec duimschroeven aan

In een keiharde blogpost haalt Google fel uit naar Symantec en stelt het zelfs een ultimatum. Symantec moet met meer informatie over de brug komen, en uitleggen hoe het zijn certificeringsproces beter gaat managen. Ook moet er een onafhankelijke audit komen naar het falende certificatenbeleid.

Google dreigt de certificaten van Symantec anders als onveilig te beschouwen en Chrome daartoe waarschuwingen aan gebruikers te laten afgeven. Symantec heeft inmiddels gereageerd en gezegd inderdaad een dergelijke externe audit te laten doen. Ook wordt het beleid rond het uitgegeven van certificaten transparanter gemaakt.