Google está desagradado com as práticas de emissão de certificados digitais na Symantec e pediu à empresa de segurança a reforçar seu controle, a fim de evitar problemas quando seus certificados são usados ​​em produtos do gigante da Internet.

Em meados de setembro, o Google verificou que a Thawte autoridade de certificação da Symantec (CA) emitiu um “Extended Validation (EV)” pré-certificado para domínios Google.com. O certificado, que não tinha sido solicitado ou autorizado pelo Google, foi descoberto em LOG´s de Transparencia de Certificados, que o Chrome exige para todos os certificados EV emitidos depois de 01 de janeiro de 2015.

Symantec disse que os certificados só foram emitidos para fins de teste por sua equipe interna QA e eles não representava um risco para usuários e organizações. Uma auditoria inicial realizada pela empresa de segurança revelou que um total de 23 certificados de teste foram emitidas para seis domínios de propriedade da Google, sete de propriedade da Opera, e dez de propriedade de três outras organizações.

A investigação de acompanhamento, provocado por perguntas dos parceiros da Symantec, revelou que 164 certificados adicionais que cobrem 76 domínios tinham sido indevidamente emitidos. Além disso, a empresa emitiu mais de 2.400 certificados de teste para domínios não registrados, apesar do fato de que esta prática não é permitida, desde abril de 2014.

“Estamos empenhados em acelerar a adoção do Log de Transparência de Certificados para todos os certificados que emitimos, adicionando suporte para os certificados Validados por Organização e Domínio, e esperamos que a maior parte desse trabalho seja concluída até o final de 2015″, disse a Symantec em seu relatório sobre o incidente. “Também começamos nosso processo de auditoria anual e estamos expandindo seu alcance na esteira desses casos recentes, a fim de garantir e termos confirmação independente de não há outros problemas pendentes. Prevemos a auditoria vai levar de três a seis meses, e uma vez completa, vamos compartilhar quaisquer conclusões fundamentais. ”

Embora a Symantec insiste em que o risco associado com a emissão dos certificados de teste é mínima, esses certificados podem ser altamente valioso nas mãos de atores maliciosos, porque eles podem ser aproveitados para representar os domínios que abrangem.

O Google também quer que a Symantec atualize seu relatório sobre o incidente com uma análise “post-mortem”, explicando por que os certificados adicionais não foram detectados na avaliação inicial da empresa, e detalhes sobre o motivo da falha de defender requisitos existentes.

“Também estamos solicitando que a Symantec fornecer-nos com um conjunto detalhado de medidas que irão tomar para corrigir e prevenir cada uma das falhas identificadas, bem como um cronograma para quando eles esperam para concluir esse trabalho. A Symantec pode considerar esta última informação seja confidencial e portanto não estamos pedindo que seja tornada pública “, disse Ryan Sleevi, engenheiro de software da Google.

Fonte: David B. Svaiter Diretor de SI & Criptografia BigBlue – Grupo CRIPTOGRAFIA BRASIL – Linked-IN