Thawte самовольно выпустил EV-сертификат Google

23/09/2015 20:48

Система Certificate Transparency зафиксировала выпуск сертификата для доменов google.com и www.google.com удостоверяющим центром компании Symantec. Сертификат был выпущен 14 сентября примерно в 19:20 (GMT) удостоверяющим центром Thawte (принадлежит компании Symantec) без разрешения или запроса со стороны Google. Причем не простой сертификат, а Extended Validation (EV). Таким образом, это первый зафиксированный случай нелегального выпуска EV сертификата. Выпуск сертификата по заверению Symantec произошел в результате внутреннего тестирования. Срок действия выпущенного сертификата 1 день. Тем не менее Google уже включил его в список отозванных для своего браузера Chrome. К тому же Google не видит причин полагать, что пользователи подверглись риску в результате этого инцидента. Примечательно так же, что сертификат был обнаружен при помощи относительно нового механизма — Certificate Transparency. Эта технология была специально разработана для того, чтобы любой владелец домена мог узнать, какие сертификаты выпущены для его домена и, соответственно, обнаружить мошеннические. Благодаря Certificate Transparency информация обо всех выпущенных удостоверяющим центром сертификатах попадает в открытый лог. Производя мониторинг этого лога, можно обнаружить выпущенные для вашего домена сертификаты. Описанный случай — первое обнаружение неавторизованного выпуска сертификата при помощи Certificate Transparency.
Источник