28 марта 2017

Google обвинил Symantec в ненадлежащем шифровании интернета

Корпорация Google понизила уровень доверия и время действия десятков тысяч сертификатов для зашифрованных веб-соединений, выданных компанией Symantec.

Защищённые соединения HTTPS, используемые на банковских сайтах, страничках входа на форумы или некоторые новостные сайты, активируются центрами сертификации, которые проверяют личность владельца веб-сайта и выдают им сертификат, подтверждающий, что они являются теми, кем себя называют. Компания по разработке софта в области информационной безопасности и защиты информации Symantec, является гигантом в мире центров сертификации — её сертификаты гарантировали безопасность до 30% интернета в 2015 году. Но у Google появились основания считать, что Symantec не достаточно серьёзно относится к своим обязанностям.

По мнению Google, Symantec выдал не менее 30 000 сертификатов без надлежавшей проверки веб-сайтов, которые их получили. Это серьезное обвинение способно подорвать доверие пользователей, которые предпочитают лишь защищённые соединения. Опираясь на собственные исследования, Google анонсировал процесс недоверия к сертификатам Symantec в браузере Chrome. Та, в свою очередь, называет обвинения Google «безответственными», «преувеличенными и вводящими в заблуждение».

По словам инженера-программиста Google Райана Сливи (Ryan Sleevi), команда Google с конца января этого года изучила ряд сбоев в Symantec Corporation, касающийся правильной проверки сертификатов. В ходе этого расследования был выявлен факт постоянно увеличивающегося объёма ошибок при каждом наборе вопросов от членов команды Google. Начальный набор ошибочных сертификатов с 127 расширился и сейчас составляет, по меньшей мере, 30 000 сертификатов, выданных в течение нескольких лет — это связано с рядом отказов от предыдущего набора неверных сертификатов Symantec, который пошатнул уверенность Google в правильности политики и практики Symantec Corporation за последние несколько лет.

Чтобы исправить ситуацию, Chrome сократит время, в течение которого браузер доверяет сертификату Symantec и, со временем, будет требовать, чтобы сайты обновляли старые сертификаты Symantec на более «свежие», вызывающие доверие. Поведение Symantec, отмечает Сливи, не соответствует базовым требованиям для центра сертификации, а самое главное — создаёт «существенный риск для пользователей Google Chrome». По сведениям Google, Symantec разрешал доступ к своей инфраструктуре, позволивший выдать сертификаты, по крайней мере, четырём сторонам. Кроме того, компанией, которая отвечает за информационную безопасность, почему-то не осуществлялось достаточного надзора, как это обычно требуется в подобных случаях. А когда были предоставлены доказательства того, что этими организациями не соблюдается соответствующего стандарта обслуживания, Symantec не уделил этому вопросу должного внимания. Проблемы, которые можно назвать провалом в надзоре, охватывали период в несколько лет.

В октябре 2015 года Google обнаружил, что Symantec искажает сертификаты как для самого Google, так и для Opera Software. Symantec изучали проблеску и заявил, что все неправильно выданные сертификаты были выпущены в рамках рутинного тестирования: «Наше расследование не выявило каких-либо признаков умышленного подлога для причинения вреда кому-либо». А на прошлой неделе Symantec отозвал свои прошлые заключения, заявив при этом, что Google предвзято отнёсся к проблеме и преувеличил количество ошибочных сертификатов, которые привели к нынешней проблеме.

Сливи, в свою очередь, ответил, что Symantec состоит в партнёрстве с другими центрами сертификации — CrossCert (Korea Electronic Certificate Authority), Certisign Certificatadora Digital, Certsuperior S. de RL de CV и Certisur SA , — которые не выполнили надлежащих процедур проверки, что привело к ошибке порядка тридцати тысяч сертификатов. По его словам, Symantec знал об этом, по крайней мере — относительно одной из сторон, но не раскрыл информацию для корневых программ и не разорвал отношения с этой стороной. В итоге Symantec всё же разорвал отношения с четырьмя фирмами, связанными с появлением «нечестных» сертификатов, и поэтому Chrome всё-таки будет доверять новым сертификатам Symantec в будущем, но владельцам сайтов необходимо будет поменять старые сертификаты на новые. А пока к существующим сертификатам вступает в силу определённый «график недоверия», который будет выглядеть следующим образом:

Symantec, в свою очередь, надеется, что Google отступит и не потребует никаких изменений вообще.

Читайте также:

Бум шифрования: объём защищённого трафика в Сети перевалил за 50%
?
Chrome и Firefox будут предупреждать пользователей при передаче чувствительных данных через незащищённый протокол
?
Антивирусное ПО и межсетевые экраны перехватывают защищенный трафик, уменьшая безопасность интернет-соединения
?
Сервисы Google всё активнее используют шифрование трафика. Лидер — YouTube, который шифрует уже 97% подключений
?
ProtonMail вступает в борьбу против государственной цензуры с помощью Tor

Контакты

По общим вопросам

[email protected]

По юридическим вопросам

[email protected]

Для СМИ

Телеграм: moi_fee
Signal: moi_fee.13

18+

23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.