Strona główna

Google walczy z Symantec o nadużycia w szyfrowaniu Internetu

Fot. Domena publiczna
Fot. Domena publiczna

Firma Google, która oskarżyła firmę Symantec i partnerów o nadużycia dziesiątków tysięcy certyfikatów dla zaszyfrowanych połączeń internetowych, ogłosiła że ​​obniża poziom ich zaufania w przeglądarce Chrome.    

Szyfrowane połączenia internetowe - HTTPS, takie jak w witrynach bankowych, stronach logowania lub serwisach informacyjnych są udostępniane przez urzędy certyfikacji, które sprawdzają tożsamość właściciela witryny i wydają im certyfikat uwierzytelniający. Wystarczy pomyśleć, jak działa taki urząd certyfikacji, jak agencja paszportowa i wydawane przez nią certyfikaty w postaci paszportów. Bez uwierzytelniania przez urzędy certyfikacji tożsamości właściciela witryny, jej użytkownicy nie mogą ufać, że na drugim końcu połączenia znajduje się bank.

Firma Symantec jest gigantem w świecie certyfikacji. Ich rozwiązania stosowane są w 30 proc. zasobów sieci. Google twierdzi jednak, że firma Symantec nie bierze odpowiedzialności za stronę prawną i wydała co najmniej 30 tys. certyfikatów bez prawidłowego sprawdzania witryn, które je otrzymały.

To poważny zarzut, który osłabia zaufanie użytkowników do witryn szyfrowanych przez Symantec, a firma Google informuje, że rozpocznie proces nieufności do certyfikatów Symanteca w przeglądarce Chrome. Firma Symantec z kolei nie zgodziła się z twierdzeniami Google, nazywając je "nieodpowiedzialnymi" i "przesadzonymi i wprowadzającymi w błąd".

Czytaj też: Prezydencka rozgrywka w cyberprzestrzeni

Jak napisał Ryan Sleevi, inżynier ds. programowania firmy Google na forum poświęconym sprawie Symantec, od 19 stycznia zespół Google Chrome bada szereg błędów popełnionych przez firmę Symantec Corporation, aby odpowiednio sprawdzać certyfikaty. „W toku niniejszego dochodzenia objaśnienia dostarczone przez firmę Symantec ujawniły stale zwiększający się zakres niewłaściwości w odniesieniu do każdego zestawu pytań od członków zespołu Google Chrome. Początkowy zestaw zgłoszonych 127 certyfikatów rozszerzył się o co najmniej 30 tys. certyfikatów, wydawanych w okresie kilku lat " można przeczytać na wspomnianym forum.

Aby naprawić sytuację, Sleevi powiedział, że Chrome zmniejszy czas, w którym przeglądarka ufa certyfikatowi wydanemu przez firmę Symantec, a z czasem wymagałaby zastąpienia starszych certyfikatów. Sleevi powiedział, że zachowanie Symantec nie spełnia wymogów podstawowych dla urzędu certyfikacji, tworząc duże ryzyko dla użytkowników Google Chrome.

Komentarze