Google объявил войну сертификатам Symantec

Корпорация Google объявила о том, что браузер Chrome исключает из списка доверенных старые SSL/TLS-сертификаты, выданные сертификационными инстанциями, принадлежащими компании Symantec, а также сокращает срок действия их новых сертификатов. Решение принято после того, как в практике выдачи сертификатов структурами Symantec был выявлен ряд грубых нарушений. SSL/TLS-сертификаты являются цифровой подписью, гарантирующей подлинность и безопасность https-соединения. И неправомерно выданные сертификаты способны ввести в заблуждение миллионы пользователей и открыть самые широкие возможности перед киберпреступниками.

К сожалению, сертификационные структуры Symantec, по данным Google, не всегда строго соблюдают правила работы. Так, в октябре 2015 года компания Symantec уволила сотрудников, повинных в ошибочной выдаче сертификатов третьим сторонам без ведома владельцев соответствующих доменов. Один из этих сертификатов был выдан на домены google.com и www.google.com, что, разумеется, возмутило Google. Дальнейшее расследование показало, что случай не был единичным. Представители Symantec говорят о 127 фактах ошибочной выдачи сертификатов, тогда как в Google уверены, что речь идет примерно о 30 тысячах случаев.

Следует понимать, что Symantec является одной из крупнейших сертификационных инстанций. По данным на конец 2015 года, порядка 30 процентов всех используемых в интернете SSL/TLS-сертификатов приходились на долю компании. Полное их исключение из числа доверенных для Chrome приведет к тому, что для миллионов пользователей браузера окажется недоступной добрая треть ресурсов глобальной сети. По этой причине Google будет осуществлять процесс, постепенно снижая срок действия выданных Symantec сертификатов, чтобы у владельцев ресурсов было время получить новые. Так, новые сертификаты Symantec будут действовать для Chrome на период 9 месяцев, тогда как в других браузерах срок их действия может составлять несколько лет.