Fjerner utbredt rotsertifikat fra Symantec

– Uakseptabel risiko.

14. des. 2015 - 10:04

Etter flere advarsler de siste månedene varslet Google på fredag at de fjerner tilliten til et såkalt «Class 3 Public Primary Certification Authority (CA)» rotsertifikat, nærmere omtalt som Verisign G1.

Dette er ett av flere rotsertifikater tilhørende Symantec, som fulgte med da de kjøpte opp ID-tjenestene til Verisign i 2010, og som kan brukes til å utstede digitale sertifikater for kryptert TLS/SSL-kommunikasjon mellom domener og nettlesere.

– Symantec har bestemt at dette rotsertifikatet ikke lenger er i tråd med minstekravene definert av CA/Browser Forum; krav som reflekterer bransjens beste praksis og selve grunnlaget for sertifikater med offentlig tillit. Det å ikke følge disse kravene representerer en uakseptabel risiko, forklarer Googles ingeniør Ryan Sleevi i en kunngjøring.

Sleevi gjør det klart at støtten for det aktuelle rotsertifikatet blir fjernet fra Chrome, Android og selskapets øvrige produkter i løpet av de kommende ukene.

– Symantec kan ikke lenger forsikre oss om at rotsertifikatet, eller sertifikater basert på dette ikke kan bli brukt til å avskjære, stanse eller forfalske sikker kommunikasjon med våre produkter og brukere, skriver han.

Utbredt på Windows, Android og OS X

Faktisk er det Symantec selv som har bedt Google om å trekke tilbake støtten som et forebyggende tiltak, opplyser ingeniøren.

– Det er nødvendig fordi dette rotsertifikatet har utbredt støtte på plattformer som Android, Windows og OS X i versjoner før OS X 10.11.

Dagen etter fulgte Symantec opp med å informere at de avvikler Verisign G1-rotsertifikatet for utstedelse av TLS/SSL-sertifikater og kodesignering-sertifikater.

Rådet er at alle erstatter dette rotsertifikatet. Det antydes at samtlige nettlesere bør trekke tilbake tilliten, og at brukerne i så fall vil oppleve feilmeldinger hvis de besøker et nettsted med et TLS/SSL-sertifikat basert på Verisign G1.

Dramatikken har, som digi.no tidligere har skrevet, bakgrunn i en rekke mistenkelige funn. Flere revisjoner har avdekket mengder av falske sertifikater, inkludert rundt 2500 sertifikater til ikke-eksisterende domener, samt testsertifikater til blant annet Google og norske Opera Software, uten at domeneeierne har kjent til dette. Flere ansatte i Symantec skal ha fått sparken etter at dette ble oppdaget.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.