Melding om usikre sikkerhetssertifikat

av Stian Karlsen

Bilde av forfatter

Vi har tidligere skrevet om hva et sikkerhetssertifikat er, og hvorfor de bør brukes.

Nå melder Google at sertifikat fra Symantec ikke anses som troverdige.

Symantec er storspiller hva utstedelse av sikkerhetssertifikat angår. Geotrust, Verisign, Thawte mfl. opereres alle under Symantec's paraply, og er dermed påvirket.

Google har avdekket at minst 30 000 sertifikat er feilutstedt, og sier med egne ord at de ikke lenger har tillit til Symantec.

Dette får konsekvenser

  • Nylig utstedte sertifikater reduseres til en gyldighet på maks 9 mnd.
  • En gradvis utrulling gjennom oppdateringer av Google Chrome, vil kreve at alle Symantec-sertifikater må erstattes.
  • Fjerning av Symantec's "Extended Validation"-markering, inntil Symantec evt. kan bevise at de er til å stole på igjen.

Symantec kritiseres også for ikke å ha gjort opplysninger om sikkerhetsproblemet offentlig tilgjengelig innenfor forventet, rimelig tid.

Oppsummering

Symantec har rotet sikkerhetsrutinene sine til, og bl.a utstedt sertifikater til personer/organisasjoner uten tilstrekkelige rettigheter.

Google vil gradvis (for å gi nettstedseiere tid til å bytte sertifikat) markere relevante sertifikat som ikke troverdige. For hver nye versjon av Google Chrome som slipper, anses gyldigetsperioden på sertifikatene som kortere og kortere.

Etter all sannsynlighet betyr dette at fryktelig mange etterhvert må skaffe seg nytt sikkerhetssertifikat.