In januari ontdekte een beveiligingsonderzoeker dat er valse certificaten in omloop zijn die konden worden teruggevoerd naar beveiligingsbedrijf Symantec. Die heeft zijn zaakjes niet op orde, klaagt Google nu. Ook in 2015 bleek al eens dat Symantec geen vat had op zijn certificaatuitgfifte en toen rolden er een paar koppen na een woedende reactie van Google.

30.000 certificaten

Google ging met Symantec om de tafel zitten om te zien waar de schoen deze keer wringt en komt tot de conclusie dat het beveiligingsbedrijf geen zicht heeft op certificaat-uitgifte en niet tijdig in staat is te reageren als er vervolgens iets niet in de haak blijkt te zijn. Dit gaat al jaren zo en Google stuitte op meerdere gevallen waarin Symantec niet tijdig heeft gewaarschuwd voor TLS-kapingen.

Het incident in januari ging bijvoorbeeld over volgens de oorspronkelijke onderzoeker om 108 onterecht uitgegeven certificaten. Het zou daarbij om testcertificaten zijn gegaan die in productie zijn genomen. Volgens Google gaat het na onderzoek om 30.000 onterecht uitgegeven certificaten.

Aanpakken root-CA

Dat strookt niet met Chrome's beleid over hoe rootcertrificaatautoriteiten moeten functioneren en daarom worden alle huidige Symantec-certificaten nu onder de loep gelegd. Ze worden de komende tijd langzaam uitgefaseerd, wat flinke gevolgen heeft. Volgens een bericht van Google wordt in 42 procent van al het HTTPS-verkeer in Firefox Symantec-certificaten gebruikt.

In de tussentijd wordt het komende jaar EV-certificaten van het bedrijf niet meer vertrouwd, waardoor sites en diensten die zulke Symantec-certs gebruiken worden gedowngrade naar DV-certificaten. Daarmee wordt enkel het domein gevalideerd. Ook wordt de vervaltermijn van Symantec-certificaten gefaseerd vanaf Chrome 59 verkort naar 33 maanden, tot aan 9 maanden in Chrome 64.