Etter flere advarsler de siste månedene varslet Google på fredag at de fjerner tilliten til et såkalt «Class 3 Public Primary Certification Authority (CA)» rotsertifikat, nærmere omtalt som Verisign G1.
- Les også: Truer Symantec med advarsel i Chrome
Dette er ett av flere rotsertifikater tilhørende Symantec, som fulgte med da de kjøpte opp ID-tjenestene til Verisign i 2010, og som kan brukes til å utstede digitale sertifikater for kryptert TLS/SSL-kommunikasjon mellom domener og nettlesere.
– Symantec har bestemt at dette rotsertifikatet ikke lenger er i tråd med minstekravene definert av CA/Browser Forum; krav som reflekterer bransjens beste praksis og selve grunnlaget for sertifikater med offentlig tillit. Det å ikke følge disse kravene representerer en uakseptabel risiko, forklarer Googles ingeniør Ryan Sleevi i en kunngjøring.
Sleevi gjør det klart at støtten for det aktuelle rotsertifikatet blir fjernet fra Chrome, Android og selskapets øvrige produkter i løpet av de kommende ukene.
– Symantec kan ikke lenger forsikre oss om at rotsertifikatet, eller sertifikater basert på dette ikke kan bli brukt til å avskjære, stanse eller forfalske sikker kommunikasjon med våre produkter og brukere, skriver han.
Utbredt på Windows, Android og OS X
Faktisk er det Symantec selv som har bedt Google om å trekke tilbake støtten som et forebyggende tiltak, opplyser ingeniøren.
– Det er nødvendig fordi dette rotsertifikatet har utbredt støtte på plattformer som Android, Windows og OS X i versjoner før OS X 10.11.
Dagen etter fulgte Symantec opp med å informere at de avvikler Verisign G1-rotsertifikatet for utstedelse av TLS/SSL-sertifikater og kodesignering-sertifikater.
Rådet er at alle erstatter dette rotsertifikatet. Det antydes at samtlige nettlesere bør trekke tilbake tilliten, og at brukerne i så fall vil oppleve feilmeldinger hvis de besøker et nettsted med et TLS/SSL-sertifikat basert på Verisign G1.
Dramatikken har, som digi.no tidligere har skrevet, bakgrunn i en rekke mistenkelige funn. Flere revisjoner har avdekket mengder av falske sertifikater, inkludert rundt 2500 sertifikater til ikke-eksisterende domener, samt testsertifikater til blant annet Google og norske Opera Software, uten at domeneeierne har kjent til dette. Flere ansatte i Symantec skal ha fått sparken etter at dette ble oppdaget.
