Η Symantec έχει αναγκαστεί να απολύσει αρκετούς εργαζόμενους αφότου η Google εντόπισε ότι η θυγατρική Thawte της εταιρείας CA εξέδιδε μη εξουσιοδοτημένα πιστοποιητικά την περασμένη εβδομάδα για διάφορους τομείς.
Το Extended Validation (EV) προ-πιστοποιητικό για τους τομείς google.com και www.google.com εκδόθηκαν ως μέρος μιας διαδικασίας εσωτερικών δοκιμών της Symantec, υποστήριξε η Google σε ένα blog post.
Ο γίγαντας του διαδικτύου πρόσθεσε:
«Αυτό το προ-πιστοποιητικό ούτε ζητείται ούτε εγκρίνεται από την Google.
Ανακαλύψαμε αυτήν την έκδοση μέσω των logs του Πιστοποιητικού Διαφάνειας, την οποία απαιτεί ο Chrome για τα πιστοποιητικά EV και έχει τεθεί σε εφαρμογή την 1η Ιανουαρίου του τρέχοντος έτους. Η έκδοση αυτού του προ-πιστοποιητικού καταγράφηκε να λειτουργεί και στα logs της Google και της DigiCert. »
Η Symantec αποκάλυψε σε δικό της blog post σχετικά με το θέμα ότι ο «μικρός αριθμός» των μη εξουσιοδοτημένων πιστοποιητικών που εξέδωσε στην πραγματικότητα συνδέεται με τρεις περιοχές.
Ισχυρίστηκε ότι τα test certs ήταν «πάντα υπό τον έλεγχό μας» και ότι αμέσως ανακλήθηκαν μόλις αποκαλύφθηκε το ζήτημα.
Ο γίγαντας της ασφάλειας πρόσθεσε, επίσης:
«Καθώς οι διαδικασίες και η προσέγγισή μας βασίζεται στις βέλτιστες πρακτικές του κλάδου τις οποίες βοηθήσαμε να δημιουργηθούν, έχουμε θέσει αμέσως σε εφαρμογή πρόσθετες διαδικασίες και τεχνικούς ελέγχους για να εξαλειφθεί η πιθανότητα ανθρώπινου λάθους. Θα συνεχίσουμε να εξελίσσουμε αδιάκοπα αυτές τις βέλτιστες πρακτικές για να διασφαλίσουμε ότι κάτι τέτοιο δεν θα συμβεί ξανά. »
Η Symantec αποκάλυψε επίσης ότι είχε απολύσει κάποιους υπαλλήλους, αφού απέτυχαν να ακολουθήσουν τις δικές της εσωτερικές βέλτιστες πρακτικές γύρω από την έκδοση πιστοποιητικών.
«Επειδή βασίζεστε σε εμάς για την προστασία του ψηφιακού κόσμου, εμείς οι ίδιοι δεν κάνουμε κανεναν συμβιβασμό για τις παραβάσεις αυτές. Ως εκ τούτου, ήταν η μόνη πρόσκληση θα μπορούσαμε να κάνουμε», ανέφερε.
Η Google δήλωσε ότι έχει ενημερωθεί ο Chrome για να αναγνωρίσει τα «κακώς εκδιδόμενα» πιστοποιητικά – τα οποία ίσχυαν μόνο για μια μέρα έτσι κι αλλιώς.
