На прошлой неделе в рамках проекта Certificate Transparency по поиску используемых поддельных SSL-сертификатов инженеры Google обнаружили выданные компанией Symantec фальшивые сертификаты Google.com.
“14 сентября принадлежащий Symantec центр сертификации Thawte выпустил предварительный сертификат с расширенной проверкой для доменов google.com и www.google.com. Эти предварительные сертификаты не являются запрошенными или одобренными Google. […] В ходе обсуждения с Symantec мы выяснили, что проблема возникла из-за ошибки во время внутреннего тестирования”, – сообщили представители Google.
“Расширенная проверка” означает, что Symantec проделала большую работу с целью подтвердить, что сертификаты действительно являются официальными и подлинными.
В Symantec заявили, что причиной ошибки стал человеческий фактор: “Мы обнаружили, что несколько выдающихся сотрудников, которые успешно прошли наши тренинги по безопасности, не выполнили установленные правила. Несмотря на их хорошие намерения, несоблюдение правил привело к тому, что после тщательного рассмотрения дела они были уволены”. Google добавила нелегитимные сертификаты в черный список. Поскольку они были действительными лишь один день, представители Google и Symantec уверены, что злоумышленники не успели воспользоваться этими сертификатами. (Symantec/NovostIT)
