Geschreven door: Securityteam

Google heeft Symantec van grove nalatigheid beschuldigd en een voorstel gedaan om de EV status van Symantec certificaten niet langer te erkennen. De browser-tak van Google, Chromium, zal stappen gaan ondernemen om ondersteuning van Symantec EV certificaten uit te faseren. De browser treft deze strenge maatregelen nadat uit onafhankelijk onderzoek bleek dat er mogelijk 30.000 certificaten waren uitgegeven aan de verkeerde partij of persoon.

Uit dit onderzoek, dat in januari van dit jaar werd gepubliceerd, werd duidelijk dat Symantec 108 certificaten onrechtmatig had uitgegeven. Dit bleek mogelijk te zijn geweest doordat een Registration Authority, een registrar die aangesloten is bij Symantec en zelf validatie mag uitvoeren, certificaten had uitgegeven voor domeinnamen zonder dat de eigenaren daarvan op de hoogte waren. Deze misstap had heel veel weg van een eerdere misstap van Symantec in oktober 2015, toen medewerkers van Symantec zelf certificaten hadden uitgegeven zonder de eigenaren van de domeinnamen in kwestie op de hoogte te stellen.

Met dat incident in het achterhoofd heeft Google het vertrouwen in Symantec opgegeven, en het voornemen om de EV status van alle Symantec certificaten terug te trekken. Hieronder vallen ook de sub-CA’s van Symantec: Thawte, GeoTrust en RapidSSL. In het voorstel, geschreven door Ryan Sleevi, software engineer bij Google, zou de geldigheidsduur van alle certificaten van Symantec in fases teruggeschroefd worden en de geldigheidsduur van nieuwe Symantec certificaten worden beperkt tot 9 maanden. De groene balk in de adresbalk die aangeeft dat een website beveiligd is met een EV certificaat wordt per direct verwijderd voor Symantec EV certificaten. Effectief gezien zullen alle Symantec certificaten in Google Chrome dus worden gedowngraded tot een DV certificaat.

“Overdreven en misleidend”
Symantec heeft in een reactie op vrijdag 24 maart aangegeven dat zij het niet eens zijn met de conclusie die Google getrokken heeft en noemen de reactie van Google “overdreven en misleidend”. Uit de beschuldiging van Google wordt niet duidelijk hoe zij aan de 30.000 certificaten zijn gekomen, al wordt de indruk gewekt dat dit het totaal aantal certificaten is dat door de betrokken RA’s is uitgegeven in de afgelopen jaren. Van de 30.000 certificaten die Google aanmerkt als onveilig ziet Symantec er maar 127 als daadwerkelijk foutief uitgegeven. Deze 127 certificaten hebben geen schade veroorzaakt onder consumenten. In een poging om het vertrouwen in hun producten terug te winnen, heeft Symantec besloten om het RA programma af te blazen.

De situatie is allerminst opgelost. Hoewel Google heeft aangegeven de reactie van Symantec te waarderen, hebben ze nog niet aangegeven hun voorstel naast zich neer te leggen. Omdat het nog slechts een voorstel betreft, is er op dit moment nog geen noodzaak voor onze klanten om stappen te ondernemen. Wanneer er zich belangrijke ontwikkelingen voordoen, zal Networking4all haar klanten daar over op de hoogte stellen.

Update 6 april 2017: Op verzoek van Symantec is het team van Google Chrome met het team van de CA rond de tafel gaan zitten om de stand van zaken te bespreken. Hieruit is echter geen oplossing naar voren gekomen. De twee partijen hopen snel weer een gesprek te kunnen voeren waaruit wellicht meer constructieve resultaten zullen voortkomen maar dit tweede gesprek is nog niet gepland. De situatie blijft vooralsnog dus ongewijzigd.


Deel artikel via: