Symantec geeft wederom onterecht SSL-certificaten uit

Abonneer je gratis op Techzine!

Wederom is Symantec in de fout gegaan en heeft het een reeks onterecht uitgegeven SSL-certificaten teruggetrokken. Het bedrijf heeft dit bevestigd nadat Andrew Ayer, oprichter van SSLMate, meldde dat Symantec enkele foute certificaten uitgegeven had.

Andrew Ayer maakte er afgelopen week melding van dat Symantec vorig jaar oktober en november enkele certificaten heeft uitgegeven voor onder meer de domeinen example.com en enkele varianten op test.com. Dit gebeurde zonder toestemming van de eigenaren van de domeinnamen.

“Met uitzondering van test4.com en test8.com, zijn deze domeinen eigendom van verschillende entiteiten en geheel niet aan elkaar gerelateerd in eigenaarschap en exploitatie.” Volgens Ayer is het daarom “onwaarschijnlijk” dat de verschillende domeineigenaren samengewerkt hebben en gezamenlijk de certificaten toestaan.

In een reactie schrijft Symantec dat de certificaten waar Ayer melding van maakte, “uitgegeven zijn door een van [de] WebTrust partners. We hebben de privileges van deze partner beperkt, om de zaak in alle rust te kunnen bestuderen. We hebben ook alle opgegeven certificaten ingetrokken”.

Verder zegt Symantec zegt tegenover The Register dat het gaat kijken naar wat er mis is gegaan bij WebTrust. Ook belooft het de “oplossing, oorzaakanalyse en corrigerende acties” te melden zodra het onderzoek afgerond is. Hoelang dat gaat duren is niet bekend, wel zijn de certificaten in elk geval meteen ingetrokken.

Dit is niet de eerste keer dat Symantec onder vuur ligt rond foutief uitgegeven veiligheidscertificaten. In 2015 trok Google daarom een deel van de certificaten van Symantec in en lanceerde het een alternatief op SSL-certificaten. Destijds dreigden meerdere browserontwikkelaars te stoppen met hun samenwerking met Symantec, op het moment dat ze weer de fout in zouden gaan. Of het opnieuw uitgeven van foute SSL-certificaten consequenties gaat hebben voor Symantec is nog even afwachten.