Google Memberi Tahu Sertifikat HTTPS Aman Symantec, Atau Lainnya

Apakah saya telah pemilik pemilik menemukan 13 juta kata sandi teks biasa bocor dari hosting gratis adalah kata sandi yang aman bahkan mungkin kita guteksk7 / Shutterstock Google telah memberikan ultimatum untuk Symantec - sepenuhnya transparan tentang penerbitan sertifikat keamanan Anda atau situs yang menggunakan sertifikat Symantec akan dianggap tidak aman oleh Google Chrome.

Pada bulan September, Symantec mengungkapkan dalam sebuah laporan bahwa mereka telah memecat sejumlah karyawan karena menerbitkan sertifikat TSL yang tidak sah untuk nama domain kepada perusahaan yang bukan pemiliknya.

Ini berarti bahwa mereka dapat digunakan untuk meniru situs web yang dilindungi HTTPS, termasuk milik Google. Penjahat dunia maya dapat menggunakan sertifikat tersebut untuk meniru situs bereputasi tinggi dan tidak terdeteksi.

Awalnya, Symantec mengatakan bahwa 23 sertifikat telah dikeluarkan, tetapi Google membantah angka ini, mengatakan bahwa jumlahnya jauh lebih tinggi. Setelah pemeriksaan lebih lanjut, Symantec mengatakan bahwa ada 164 sertifikat lebih lanjut di 76 domain dan 2.458 sertifikat untuk domain yang belum terdaftar.

Dalam sebuah posting blog, Ryan Sleevi dari Google menyerukan agar rincian penyelidikan Symantec dipublikasikan dan transparan untuk memahami mengapa jumlah sertifikat yang dikeluarkan di bawah perkiraan. Ini melibatkan informasi terperinci tentang bagaimana perusahaan akan mencegah hal ini terjadi lagi serta apa metodenya.

Sleevi juga telah meminta Symantec untuk memastikan bahwa semua sertifikat SSL, mulai 1 Juni 2016, diterbitkan sesuai dengan Transparansi Sertifikat, log audit publik.

"Setelah tanggal ini, sertifikat yang baru dikeluarkan oleh Symantec yang tidak sesuai dengan kebijakan Transparansi Sertifikat Chromium dapat menyebabkan interstisial atau masalah lain saat digunakan dalam produk Google," tulis Sleevi.

Jika Symantec, dan mungkin penerbit sertifikat lainnya, tidak mengikuti pedoman ini, ini berisiko membuat sertifikat SSL-nya ditandai sebagai tidak aman atau tidak aman, yang akan mengirimkan pesan buruk kepada setiap pengguna yang mencoba mengakses situs yang menggunakannya melalui Chrome.

Sebagai tanggapan, Symantec mengatakan bahwa masalah tersebut disebabkan oleh kesalahan pengujian. Ia menyatakan bahwa mereka telah mencabut dan memasukkan daftar hitam sertifikat yang dipermasalahkan dan mengatakan bahwa tidak ada kerugian yang ditimbulkan kepada pengguna atau organisasi mana pun.

"Untuk mencegah jenis pengujian ini terjadi di masa mendatang, kami telah menempatkan alat tambahan, kebijakan, dan pengamanan proses, dan mengumumkan rencana untuk memulai pencatatan Transparansi Sertifikat dari semua sertifikat," kata pernyataan itu. “Kami juga telah melibatkan pihak ketiga independen untuk mengevaluasi pendekatan kami, selain memperluas ruang lingkup audit tahunan kami.”