Компанія Google повідомила, що в самий найближчий час вилучить з Chrome, Android та інших продуктів кореневий сертифікат компанії Symantec. Представники Google стверджують, що цей крок викликаний прагненням убезпечити користувачів, тому що неясно, для чого Symantec використовує даний сертифікат.

1 грудня 2015 компанія Symantec перервала дію кореневого сертифікату VeriSign G1 (Class 3 Public Primary CA), який раніше використовувався для підписання публічної коду і роботи з TLS / SSL сертифікатами. Хоча компанія повідомила Google про те, що надалі цей кореневий сертифікат ще планують використовувати, Symantec відмовилася пояснювати, як саме він буде застосовуватися і з якими цілями. У результаті служба безпеки Google ухвалила рішення не підтримувати сертифікат зовсім і видалити зі списку надійних. Інженер компанії Райн сливи (Ryan Sleevi) пояснює в блозі, що VeriSign G1 більше не відповідає вимогам CA / Browser Forum Baseline Requirements.

«Ці вимоги є віддзеркаленням передових практик індустрії і є основою роботи публічних довірених сертифікатів. Невідповідність даним вимогам, це неприйнятний ризик, що ставить під загрозу всіх користувачів продуктів Google, - пише сливи. - Так як компанія Symantec не зуміла роз'яснити нове призначення сертифікатів, але знала про ризик, якому будуть піддані користувачі Google, нас попросили превентивно видалити цей кореневий сертифікат і перервати його дія. Цей крок необхідний, оскільки даний сертифікат широко використовується платформами Android, Windows і OS X ».

Symantec, в освою чергу, відзначає, що зупинка роботи сертифіката повністю відповідає нормам CA / Browser Forum Baseline Requirements. Представники компанії запевняють, що роблять таке не вперше, але ніколи раніше повідомлення розробників браузерів про чергове непрацюючому кореневому сертифікаті не приводило до таких наслідків.

Компанія попереджає користувачів, що їх браузери незабаром можуть перестати підтримувати сертифікат, що може призвести до виникнення помилок. Тим не менш, сливи пише, що представники Symantec повідомили Google, що видалення сертифіката ніяк не позначиться на їх користувачах.

Вперше претензії до Symantec виникли у Google в жовтні 2015 року, після інциденту з публікацією фальшивих SSL-сертифікатів з розширеною перевіркою для доменів google. com і www. google. com. Тоді представники Symantec вибачалися, запевняли, що сталася помилка, а сертифікати були створені виключно в мирних, дослідницьких цілях. Подальше розслідування показало, що компанія оприлюднила 23 тестових сертифіката, з яких 6 зачіпали домени Google, а ще 7 домени Opera. Згодом вдалося виявити ще 164 сертифіката, що покривають 76 доменів.

Більше того, виявилося, що Symantec використовувала понад 2400 сертифікатів для незареєстрованих доменів, хоча така практика була скасована ще в квітня 2014 року.

Хоча тоді представники Symantec стверджували, що тестові сертифікати не могли представляти ніякого ризику для користувачів, в Google вирішили інакше і порекомендували Symantec попрацювати над безпекою в даній області.

Зараз, в ситуації з кореневим сертифікатом VeriSign G1, представники Symantec вважають, що Google роздуває з мухи слона, але підкреслюють, що цей інцидент ніяк не пов'язаний з жовтневими подіями.