Ответ в темуСоздание новой темыСоздание опроса

> Google потеряла доверие к сертификатам Symantec
 krokik Пользователя сейчас нет на форуме
Отправлено: 25.03.2017 - 18:45:45 (post in topic: 1, link to post #782537)
Цитировать сообщение Цитировать выделенный текст


Заслуженый АбуканецGold
Свинье Не Товарищ
Group Icon
Профиль
Группа: Privileged
Сообщений: 27439
Поблагодарили: 46498
Ай-яй-юшек: 339
Штраф:(20%) X----

user posted image

Разработчики браузера Google Chrome объявили план постепенного отказа в доверии и перевыдачи старых сертификатов Symantec SSL, отмены статуса EV, а также уменьшении срока действия будущих сертификатов до ≤9 месяцев. Это результат расследования инцидентов с сертификатами, которые были выданы без разрешения владельцев, и действующих практик в компании.

Расследование Google продолжалось два месяца с января по март 2017 года. Чем дольше оно продолжалось, тем больше вопросов возникало к Symantec и вскрывалось нарушений в выдаче сертификатов. Ещё не стёрлась из памяти история 2015 года, когда Symantec самовольно выпустил сертификат на домены Google, Opera и ещё нескольких организаций.

Тогда Symantec объяснила свои действия следующим образом: «Небольшое количество тестовых сертификатов было некорректно выпущено для внутреннего пользования во время тестирования. Все из этих тестовых сертификатов и ключей были все время под нашим контролем и были незамедлительно отозваны, когда мы узнали о проблеме. Не было никакого воздействия на какие-либо домены и никакой опасности для сети Интернет». Сотрудники, нарушившие политики и допустившие данный инцидент, были уволены.

Однако проведённый аудит выявил 187 сертификатов на существующие домены, выданные без ведома владельцев, и 2458 сертификатов на несуществующие домены.

После того инцидента стало ясно, что у Symantec с безопасностью совсем плохо. Компания Google потребовала от неё выполнения ряда мер, в том числе поддержки всеми новыми сертификатами фреймворка Certificate Transparency, проведения дополнительного аудита, публикации отчёта по инциденту, привлечения независимых аудиторов.

Прошло чуть больше года с момента прошлого инцидента — и сейчас Google снова вернулась к провинившемуся центру сертификации Symantec на предмет проверки его соответствия правилам Root Certificate Policy в браузере Chrome.

С самого начала стало понятно, что дела в компании не сильно улучшились. В начале расследования рассматривался первоначальный набор из 127 сертификатов, но в свете вскрывшихся нарушений его расширили до 30 000 штук, выданных за несколько лет.

Результаты расследования Google сформулировала следующим образом: «У нас больше нет уверенности в правилах и практике выдачи сертификатов Symantec за последние несколько лет. Чтобы восстановить уверенность и безопасность наших пользователей, мы предлагаем следующие шаги:

Сокращение признанного срока действия вновь выданных сертификатов Symantec до девяти месяцев или меньше, чтобы минимизировать какое-либо влияние на пользователей Google Chrome от любых дальнейших некорректных выдач, которые могут возникнуть.
Постепенный отказ в доверии, охватывающий несколько выпусков Google Chrome, всем ранее выданным сертификатам Symantec, с требованием повторного подтверждения и замены.
Отказ в признании статуса EV (Extended Validation) для сертификатов, выданных Symantec, до тех пор, пока сообщество не будет уверено в правилах и практике Symantec, но не ранее чем через 1 год».

Постепенное сокращение признанного срока действия вновь выданных сертификатов Symantec предлагается реализовать следующим образом:

Chrome 59 (Dev, Beta, Stable): 33 месяца (1023 дня)
Chrome 60 (Dev, Beta, Stable): 27 месяцев (837 дней)
Chrome 61 (Dev, Beta, Stable): 21 месяц (651 день)
Chrome 62 (Dev, Beta, Stable): 15 месяцев (465 дней)
Chrome 63 (Dev, Beta): 9 месяцев (279 дней)
Chrome 63 (Stable): 15 месяцев (465 дней) — эта версия выходит на рождественских каникулах, когда во многих компаниях выходные
Chrome 64 (Dev, Beta, Stable): 9 месяцев (279 дней)

По мнению Google, перечисленные меры «позволят гарантировать, что уровень гарантий сертификатов Symantec соответствует ожиданиям Google Chrome и экосистемы, и что риски от прошлых и возможных будущих нарушений сведены к минимуму, насколько это возможно».

Нужно понимать, что Symantec — один из крупнейших центров сертификации в интернете. Так, в январе 2015 года более 30% всех сертификатов в Сети были выданы именно этим центров. Правда, с тех пор произошли значительные изменения. Сейчас лидером является Comodo с 42,7%, а доля Symantec сократилась до 15,4%.


Код
Доступно только для зарегистрированных пользователей


 


--------------------
Бегемот - птица гордая! Пока не пнешь - не полетит
PMПисьмо на e-mail пользователю
Bottom Top
 Поблагодарили за полезное сообщение: vicky000000, knigolub, grul, Cache, Iudushka
 krokik Пользователя сейчас нет на форуме
Отправлено: 25.03.2017 - 21:01:03 (post in topic: 2, link to post #782560)
Цитировать сообщение Цитировать выделенный текст


Заслуженый АбуканецGold
Свинье Не Товарищ
Group Icon
Профиль
Группа: Privileged
Сообщений: 27439
Поблагодарили: 46498
Ай-яй-юшек: 339
Штраф:(20%) X----

Для тех кто не в курсах. Существует с десяток топовых провайдеров сертификатов для секьюрных вебсайтов, баз данных, мейла и других связанных с инетом апликух - без них защита просто невозможна. Symantec - один из самых распостраненных, допустим моя компания покупает все свои сертификаты у него. Как сказано в статье, популярность его стремительно падает, а тут еще и недоверие от крупнейшей в мире веб конторы. Если в ближайшее время не докажет свою состоятельность, не знаю, выживет ли вообще...


--------------------
Бегемот - птица гордая! Пока не пнешь - не полетит
PMПисьмо на e-mail пользователю
Bottom Top
 Поблагодарили за полезное сообщение: Cache



0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темы Ответ в темуСоздание новой темыСоздание опроса
 
  


Анклавы Клуба в социальных сетях:
Клуб любителей Аудиокниг - Твиттер  Клуб на ФейсБук  Клуб любителей Аудиокниг - наш канал на YouTube  Канал Клуба Любителей Аудиокниг в Телеграм