Google dreigt Symantec te schrappen als certificaatautoriteit

Google en Symantec liggen met elkaar in de clinch en dat kan weleens hele nare gevolgen gaan hebben. De ruzie ontstond toen werknemers van Symantec certificaten gingen aanmaken voor testdoeleinden voor de domeinnaam Google.com. Google was daar niet van gecharmeerd en blokkeerde de certificaten direct en eist nu aanpassingen in het beleid van Symantec anders dreigt Google het hele bedrijf te schrappen als certificaat autoriteit.

Google heeft aan Symantec laten weten dat het wat beleidswijzigingen moet gaan doorvoeren en transparant moet gaan communiceren over de certificaten die het versterkt. Doet het bedrijf dat niet dan zal het moeten leren leven met de consequenties en die zijn duidelijk, dan schrapt Google het bedrijf als certificaatautoriteit in Chrome. Dat heeft tot gevolg alle https-websites niet langer worden gemarkeerd als veilig in de Chrome-browser. In plaats daarvan verschijnt er een waarschuwing dat de website mogelijk onveilig is. Gezien Google wereldwijd een groot marktaandeel heeft met de Chrome-browser kan je rustig stellen dat de certificaten van Symantec dan niets meer waard zullen zijn.

Het huidige akkefietje tussen Google en Symantec begon allemaal met het creëren van SSL-certificaten voor Google.com, die waren door Symanted aangemaakt voor interne testdoeleinden. Google vond het onacceptabel dat het bedrijf daarvoor Google.com gebruikt want als die certificaten in de verkeerde handen vallen kan dat hele nare gevolgen hebben.

Het certificaat dat was aangemaakt was slechts een dag geldig, maar Symantec deelde de visie van Google dat het onacceptabel is en tegen de regels. De werknemers in kwestie werden dan ook ontslagen door Symantec. Symantec stelde ook een onderzoek in en ontdekte nog eens 23 certificaten die waren aangemaakt voor testdoeleinden zonder enige vorm van toestemming. Deze certificaten hadden effect op Google, Opera en nog enkele andere bedrijven waarvan de namen niet bekend zijn gemaakt. Na uitgebreider onderzoek vond Symantec nog eens 164 testcertificaten voor 76 andere domeinnamen en 2458 testcertificaten voor niet bestaande domeinnnamen.

Volgens Symantec hebben de testcertificaten nooit gezorgd voor risico’s omdat deze het lab nooit hebben verlaten. Ook zijn ze nooit zichtbaar geweest voor eindgebruikers aldus Symantec.

Google heeft afgelopen week ook een onderzoek gedaan en wist binnen enkele minuten diverse andere certificaten te vinden waarbij het de nodige vraagtekens zet. Volgens Google gaat het niet om een paar certificaten die door een aantal werknemers zijn aangemaakt voor testdoeleinden, maar gaat het echt om duizenden certificaten. Deze certificaten konden ook niet direct worden gevonden, maar hiervoor waren meerdere uitgebreide onderzoeken nodig en hierdoor lopen mogelijk miljoenen gebruikers risico. Google eist dan ook veranderingen van Symantec.

Google eist vanaf 1 juni 2016 dat alle certificaten die door Symantec worden uitgegeven ondersteuning bieden voor certificaat transparantie. Anders zal Google de certificaten in de Chrome-browser mogelijk gaan markeren als potentieel gevaarlijk.

Google wil verder weten van Symantec waarom niet direct alle testcertificaten zijn gevonden en wat de reden is dat die pas later werden ontdekt. Wat Symantec gaat doen om ervoor te zorgen dat dit in de toekomst niet opnieuw zal voorkomen.

Symantec heeft in een reactie laten weten dat het adequaat heeft opgetreden toen het probleem aan het licht kwam en dat alle certificaten zijn ingetrokken en het bedrijf heeft samenwerkt met de browserfabrikanten om ze ook op de zwarte lijst te krijgen. Verder zijn er uitgebreide onderzoeken gedaan naar de werkwijze en zijn er aanpassingen gedaan in de organisatie en de systemen om herhaling te voorkomen. Ook heeft het bedrijf een derde partij ingeschakeld die de werkwijze van het bedrijf tegen het licht heeft gehouden.

Symantec heeft verder aangegeven te zullen voldoen aan de eis van Google om certificaattransparantie toe te passen op alle certificaten.