- Регистрация
- 03.06.2012
- Сообщения
- 6 082
- Репутация
Компания Google сообщила, что в самое ближайшее время изымет из Chrome, Android и прочих продуктов корневой сертификат компании Symantec. Представители Google утверждают, что этот шаг вызван стремлением обезопасить пользователей, так как неясно, для чего Symantec использует данный сертификат.
1 декабря 2015 года компания Symantec прервала действие корневого сертификата VeriSign G1 (Class 3 Public Primary CA), который ранее использовался для подписания публичного кода и работы с TLS/SSL сертификатами. Хотя компания уведомила Google о том, что в дальнейшем этот корневой сертификат еще планируют использовать, Symantec отказалась объяснять, как именно он будет применяться и с какими целями. В результате служба безопасности Google приняла решение не поддерживать сертификат вовсе и удалить из списка надежных. Инженер компании Райн Сливи (Ryan Sleevi) поясняет в блоге, что VeriSign G1 более не соответствует требованиям CA/Browser Forum Baseline Requirements.
Symantec, в освою очередь, отмечает, что остановка работы сертификата полностью соответствует нормам CA/Browser Forum Baseline Requirements. Представители компании уверяют, что делают такое не в первый раз, но никогда ранее уведомление разработчиков браузеров об очередном неработающем корневом сертификате не приводило к таким последствиям.
Компания предупреждает пользователей, что их браузеры вскоре могут перестать поддерживать сертификат, что может привести к возникновению ошибок. Тем не менее, Сливи пишет, что представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.
Впервые претензии к Symantec возникли у Google в октябре 2015 года, после инцидента с публикацией фальшивых SSL-сертификатов с расширенной проверкой для доменов google.com и
Хотя тогда представители Symantec утверждали, что тестовые сертификаты не могли представлять никакого риска для пользователей, в Google посчитали иначе и порекомендовали Symantec поработать над безопасностью в данной области.
Сейчас, в ситуации с корневым сертификатом VeriSign G1, представители Symantec считают, что Google раздувает из мухи слона, но подчеркивают, что этот инцидент никак не связан с октябрьскими событиями.
P/S:Вот и покупай теперь коммерческие сертификаты для доменов !
1 декабря 2015 года компания Symantec прервала действие корневого сертификата VeriSign G1 (Class 3 Public Primary CA), который ранее использовался для подписания публичного кода и работы с TLS/SSL сертификатами. Хотя компания уведомила Google о том, что в дальнейшем этот корневой сертификат еще планируют использовать, Symantec отказалась объяснять, как именно он будет применяться и с какими целями. В результате служба безопасности Google приняла решение не поддерживать сертификат вовсе и удалить из списка надежных. Инженер компании Райн Сливи (Ryan Sleevi) поясняет в блоге, что VeriSign G1 более не соответствует требованиям CA/Browser Forum Baseline Requirements.
Symantec, в освою очередь, отмечает, что остановка работы сертификата полностью соответствует нормам CA/Browser Forum Baseline Requirements. Представители компании уверяют, что делают такое не в первый раз, но никогда ранее уведомление разработчиков браузеров об очередном неработающем корневом сертификате не приводило к таким последствиям.
Компания предупреждает пользователей, что их браузеры вскоре могут перестать поддерживать сертификат, что может привести к возникновению ошибок. Тем не менее, Сливи пишет, что представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.
Впервые претензии к Symantec возникли у Google в октябре 2015 года, после инцидента с публикацией фальшивых SSL-сертификатов с расширенной проверкой для доменов google.com и
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
. Тогда представители Symantec извинялись, уверяли, что произошла ошибка, а сертификаты были созданы исключительно в мирных, исследовательских целях. Дальнейшее расследование показало, что компания обнародовала 23 тестовых сертификата, из которых 6 затрагивали домены Google, а еще 7 домены Opera. Впоследствии удалось выявить еще 164 сертификата, покрывающих 76 доменов. Более того, оказалось, что Symantec использовала свыше 2400 сертификатов для незарегистрированных доменов, хотя такая практика была отменена еще в апреле 2014 года.Хотя тогда представители Symantec утверждали, что тестовые сертификаты не могли представлять никакого риска для пользователей, в Google посчитали иначе и порекомендовали Symantec поработать над безопасностью в данной области.
Сейчас, в ситуации с корневым сертификатом VeriSign G1, представители Symantec считают, что Google раздувает из мухи слона, но подчеркивают, что этот инцидент никак не связан с октябрьскими событиями.
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
P/S:Вот и покупай теперь коммерческие сертификаты для доменов !
