Google boycot bestaande online certificaten van Symantec
SSL- of TLS- certificaten geven aan over de verbinding tussen de browser en website veilig is. Ze laten zien dat de gebruiker zich op de authentieke website bevindt, en niet bijvoorbeeld op een gespoofte versie. Zulke certificaten worden tegen betaling uitgereikt door certificaat-autoriteiten, waaronder grote speler Symantec. Google laat nu weten dat hun vertrouwen in hen is geschonden. Vele certificaten van Symantec zouden ongeoorloofd worden uitgereikt, waardoor de zoekgigant voortaan alle bestaande certificaten van diens hand als onbetrouwbaar beschouwt.
Eigen schuld
Het wantrouwen vindt zijn oorsprong in een onderzoek dat eerder dit jaar werd opgezet. Het onderzoek bestudeerde aanvankelijk 127 beveiligingscertificaten, maar zorgde er uiteindelijk voor dat Google 30.000 certificaten in twijfel trekt. Dat had Symantec volgens hen vooral aan zichzelf te danken: “Gedurende het onderzoek onthulde de uitleg van Symantec bij elke set vragen van het Google Chrome-team een voortdurend groeiend aantal ongeoorloofde uitreikingen,” laat Google weten.
[related_article id=”167183″]
In 2015 kwam Google er al achter dat Symantec er niet in slaagde om zelf ongeldige certificaten op het spoor te komen, zoals certificaten die worden uitgereikt voor een domein dat nooit werd geregistreerd. Die tekortkomingen, gecombineerd met Symantec’s ontoereikende uitleg in het huidige onderzoek, zorgden ervoor dat Google niet meer overtuigd is van het heil van Symantec-certificaten. Voor de gebruiker is dat niet zonder gevaar, schrijft Google. “Op basis van de details die publiek beschikbaar werden gemaakt door Symantec, geloven we niet dat ze [de nodige beveiligingsprincipes] in ere hielden, en op die manier significante risico’s creëerden voor Google Chrome-gebruikers.”
Gradueel wantrouwen
Google neemt daarom maatregelen die Symantec dwingt om de certificaten te controleren. Ze stellen een “gradueel wantrouwen” voor van alle bestaande Symantec-certificaten. De maatregel neemt zo gigantische proporties aan, aangezien Symantec een van de grootste certificaat-autoriteiten op de markt is, en in 2015 verantwoordelijk was voor een derde van alle certificaten. Dat percentage zal ondertussen afgenomen zijn, aldus Google, maar toch kiest het ervoor om de geldigheid van de certificaten in Chrome trapsgewijs af te bouwen.
In toekomstige browser-updates, te beginnen vanaf versie 59, worden bestaande Symantec-certificaten stap voor stap als ‘ongeldig’ aangeduid. Daarnaast zullen nieuwe certificaten van Symantec slechts voor maximaal 9 maanden geldig blijven, en zal Google de zogenoemde ‘Extended Validation’-certificaten niet langer erkennen.
Het nieuwe actieplan verplicht Symantec om websitebeheerders te contacteren en wellicht een kosteloos, nieuw certificaat aan te bieden indien aan alle voorwaarden wordt voldaan. Symantec neemt dan ook aanstoot aan de strenge maatregelen, en noemt de actie “onverwacht” en de blogpost “onverantwoordelijk”. Het voelt zich vooral geviseerd, en geeft mee dat “alle grote certificaat-autoriteiten” weleens certificaten foutief uitreiken.
//www.smartbiz.be/nieuws/169803/dit-zijn-de-15-belangrijkste-cyberdreigingen-het-europese-security-landschap/