Hlavní navigace

Symantec chyboval s EV certifikáty, prohlížeče jim přestanou důvěřovat

Roman Bořánek

Společnost Symantec dostatečně nezabezpečila svůj proces vydávání certifikátů, vyplývá z vyšetřování Googlu. Ten proto plánuje částečné odebrání důvěry v Chromu a vyzývá k tomu další prohlížeče.

Vývojový tým prohlížeče Google Chrome představil svůj úmysl potrestat společnost Symantec, konkrétně její certifikační autoritu. Na začátku roku se totiž objevila podezření, že praktiky společnosti při vydávání certifikátů nebyly takové, jaké by měly být. Zejména co se týče certifikátů s rozšířeným ověřením (EV), tedy ověřením samotné společnosti.

Google proto podnikl vyšetřování v podezření se potvrdila. Problém je hlavně v tom, že Symantec umožnil přístup do své infrastruktury několika dalším stranám a dostatečně na ně nedohlížel. Google se domnívá, že cca 30 tisíc certifikátů tak bylo vystaveno v rozporu se základními pravidly.

Trest: rychlejší vypršení certifikátů

Navrhovaný trest sice neuvažuje nad úplným odebráním důvěry, zejména vhledem k vysokému tržnímu podílu firmy, ale i tak je poměrně přísný. Navrhované kroky se týkají všech certifikačních autorit vlastněných společností Symantec, včetně velmi rozšířené autority GeoTrust.

Nově vydané certifikáty by nesměly mít delší platnost než 9 měsíců, jinak by jim Chrome nedůvěřoval. Co se týče stávajících certifikátů, tak těm bude odebrána důvěra graduálně v průběhu cca jednoho roku, podle doby jejich platnosti. Jejich majitelé by tam měli mít dostatek času pořídit si certifikát nový.

Postupné odebrání důvěry by se týkalo také EV certifikátů, které by navíc prakticky okamžitě byly poníženy na úroveň běžných certifikátů. V adresních řádcích už by se tak neobjevovaly názvy firem, kterým byly vystaveny. Což také může být problém, protože některé firmy a služby vycvičily své uživatele, aby právě na to koukali. Nově vydané EV certifikáty by Chrome neakceptoval vůbec.

Název firmy z adresního řádku půjde pryč

Název firmy z adresního řádku půjde pryč

Přidají se další prohlížeče?

Navzdory tomu, že o problémech věděl, Symantec opakovaně selhal v jejich oznámení. Navíc ani poté, co se informace dostaly na veřejnost, Symantec odmítl vydat informace, které komunita vyžadovala, aby mohla prověřit závažnost problémů, dokud nebyl výslovně tázán, popisuje návrh přitěžující okolnosti.

Nutno dodat, že návrh zatím není hotová věc. Vývojový tým prohlížeče Chrome ho zveřejnil proto, že chce na svou stranu získat další prohlížeče a odebrání důvěry s nimi koordinovat, aby mezi uživateli nebyl zmatek. Lze však předpokládat, že tvůrci dalších prohlížečů budou návrh kvitovat. Např. Mozilla s Firefoxem už dříve ukázala, že se špatnými certifikačními autoritami nemá slitování a jako první odebrala důvěru WoSign.

Důležité je, že se nic nezmění ze dne na den a uživatelé dostanou čas certifikáty vyměnit. Pro Symantec to samozřejmě bude znamenat velkou ránu a velký odliv klientů, ale úplný konec nikoliv. Pokud firma podnikne kroky k nápravě a bude fungovat transparentněji, může se opět stát plnohodnotnou certifikační autoritou. Ale hned to nebude.

Našli jste v článku chybu?