• Привет !

    На форуме есть зеркало в ТОРе:rusfwz3cukdej7do.onion

    Обратная связь:info@ru-sfera.org

    Всего доброго !

Новость Google удалит корневой сертификат Symantec из своих продуктов (1 Viewer)

Кто просматривает этот контент: "Тема" (Всего пользователей: 0; Гостей: 1)

X-Shar

:)
Администрация
Регистрация
03.06.2012
Сообщения
5 409
Репутация
7 898
Telegram
Компания Google сообщила, что в самое ближайшее время изымет из Chrome, Android и прочих продуктов корневой сертификат компании Symantec. Представители Google утверждают, что этот шаг вызван стремлением обезопасить пользователей, так как неясно, для чего Symantec использует данный сертификат.

1 декабря 2015 года компания Symantec прервала действие корневого сертификата VeriSign G1 (Class 3 Public Primary CA), который ранее использовался для подписания публичного кода и работы с TLS/SSL сертификатами. Хотя компания уведомила Google о том, что в дальнейшем этот корневой сертификат еще планируют использовать, Symantec отказалась объяснять, как именно он будет применяться и с какими целями. В результате служба безопасности Google приняла решение не поддерживать сертификат вовсе и удалить из списка надежных. Инженер компании Райн Сливи (Ryan Sleevi) поясняет в блоге, что VeriSign G1 более не соответствует требованиям CA/Browser Forum Baseline Requirements.

«Эти требования являются отражениям передовых практик индустрии и являются основой работы публичных доверенных сертификатов. Несоответствие данным требованиям, это неприемлемый риск, ставящий под угрозу всех пользователей продуктов Google, — пишет Сливи. — Так как компания Symantec не сумела разъяснить новое предназначение сертификатов, но знала о риске, которому будут подвергнуты пользователи Google, нас попросили превентивно удалить этот корневой сертификат и прервать его действие. Этот шаг необходим, так как данный сертификат широко используется платформами Android, Windows и OS X».
Symantec, в освою очередь, отмечает, что остановка работы сертификата полностью соответствует нормам CA/Browser Forum Baseline Requirements. Представители компании уверяют, что делают такое не в первый раз, но никогда ранее уведомление разработчиков браузеров об очередном неработающем корневом сертификате не приводило к таким последствиям.

Компания предупреждает пользователей, что их браузеры вскоре могут перестать поддерживать сертификат, что может привести к возникновению ошибок. Тем не менее, Сливи пишет, что представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.

Впервые претензии к Symantec возникли у Google в октябре 2015 года, после инцидента с публикацией фальшивых SSL-сертификатов с расширенной проверкой для доменов google.com и www.google.com. Тогда представители Symantec извинялись, уверяли, что произошла ошибка, а сертификаты были созданы исключительно в мирных, исследовательских целях. Дальнейшее расследование показало, что компания обнародовала 23 тестовых сертификата, из которых 6 затрагивали домены Google, а еще 7 домены Opera. Впоследствии удалось выявить еще 164 сертификата, покрывающих 76 доменов. Более того, оказалось, что Symantec использовала свыше 2400 сертификатов для незарегистрированных доменов, хотя такая практика была отменена еще в апреле 2014 года.

Хотя тогда представители Symantec утверждали, что тестовые сертификаты не могли представлять никакого риска для пользователей, в Google посчитали иначе и порекомендовали Symantec поработать над безопасностью в данной области.

Сейчас, в ситуации с корневым сертификатом VeriSign G1, представители Symantec считают, что Google раздувает из мухи слона, но подчеркивают, что этот инцидент никак не связан с октябрьскими событиями.

Источник !

P/S:Вот и покупай теперь коммерческие сертификаты для доменов ! Dmeh-Smeh-Smeh!!!
 
Автор темы Похожие темы Форум Ответы Дата
Hooko Новости и статьи IT безопасности 2
virt Новости и статьи IT безопасности 0
X-Shar Новости и статьи IT безопасности 1
Hooko Новости и статьи IT безопасности 7
A Новости и статьи IT безопасности 0
Denis27 Новости и статьи IT безопасности 0
Denis27 Новости и статьи IT безопасности 35
Denis27 Новости и статьи IT безопасности 0
X-Shar Новости и статьи IT безопасности 4
Ворошилов Новости и статьи IT безопасности 1
X-Shar Новости и статьи IT безопасности 0