Symantec creëerde illegale SSL-certificaten voor Google.com

Symantec heeft op 14 september twee SSL-certificaten aangemaakt voor google.com en www.google.com, het gaat om zogenaamde Extended Validation-certificaten (EV), daarbij wordt normaliter de aanvrager van de certificaten gecontroleerd om vast te stellen dat die overeenkomst met de domeinnaamhouder. Google had echter geen verzoek ingediend voor certificaten en daardoor kunnen deze certificaten worden bestempeld als illegaal.

Google houdt nieuwe SSL-certificaten nauwlettend in de gaten via de Certificate Transparancy logs. Daarom kon het bedrijf ook exact vertellen hoe laat deze zijn aangemaakt. Deze logs worden gebruikt door alle grote erkende certificaatautoriteiten, Google heeft begin dit jaar besloten dat een autoriteit mee moet werken aan deze logs om een EV-certificaat in Google Chrome te laten werken. Zonder transparantie verstrekt Chrome niet de hele mooie groene balk.

Direct nadat Google constateerde dat Symantec certificaten had aangemaakt voor het Google-domein werd er contact gezocht met het bedrijf. Al snel kwam naar voren dat het ging om een interne testprocedure bij Symantec, de certificaten hadden ook maar een geldigheid van 24 uur. Google heeft besloten het uitgegeven certificaat direct te verbannen in Google Chrome, al heeft Symantec het certificaat ook vrij snel weer ingetrokken. Symantec heeft daarnaast ook bekendgemaakt dat drie werknemers op staande voet zijn ontslagen voor het aanmaken van het certificaat.

Google laat op zijn blog weten dat in dit soort situaties de veiligheid van zijn gebruikers voorop staat, maar dat het geen reden zien om aan te nemen dat deze risico hebben gelopen. Met een dergelijk certificaat zouden browsers kunnen worden misleid dat ze op Google.com zijn, terwijl dat niet zo is. Door het certificaat zou de browserbalk gewoon groen kleuren.