Symantec có lượng khách hàng lớn và trung thành, nhưng Google cũng vậy.
Có những bất cập đang diễn ra giữa Symantec và cộng đồng trình duyệt, cụ thể là Google, điều này khiến cho cộng đồng SSL đang có vấn đề. Hậu quả của nó chắc chắn sẽ được cảm nhận trên internet, theo cách nhìn thấy và không nhìn thấy. Và Symantec phải bước lên đĩa và chịu một phần trách nhiệm, tiêu biểu nhất là Google đã không còn tin tưởng vào các chứng chỉ SSL Symantec cung cấp.
Hãy bắt đầu với đề xuất để loại bỏ niềm tin trong chứng chỉ SSL Symantec hiện tại
Đối với những người không biết, vào ngày 23 tháng 3 năm 2017, Ryan Sleevi, một kỹ sư phần mềm của Google, đã xuất bản một đề xuất sẽ từ từ từ chối và loại bỏ niềm tin vào các chứng chỉ SSL Symantec hiện có. Hành động được đề xuất là:
- Giảm thời hạn hiệu lực của các chứng chỉ do Symantec phát hành mới xuống còn chín tháng hoặc ít hơn, để giảm thiểu bất kỳ tác động nào đối với người dùng Google Chrome từ bất kỳ lỗi lầm nào khác có thể phát sinh.
- Một sự ngờ vực gia tăng, bao trùm một loạt các bản phát hành Google Chrome, của tất cả các chứng chỉ được Symantec phát hành hiện nay, yêu cầu chúng được xác nhận lại và thay thế.
- Loại bỏ việc công nhận trạng thái Xác Nhận Mở Rộng của các chứng chỉ đã được Symantec ban hành, cho đến khi một cộng đồng có thể được đảm bảo trong các chính sách và thực hành của Symantec, nhưng không sớm hơn một năm.
Để làm rõ, điều này đề cập đến tất cả các chứng chỉ SSL đến từ thương hiệu Symantec (GeoTrust, Thawte, RapidSSL và dĩ nhiên là thương hiệu Symantec).
Lý do Symantec bị Google loại bỏ khỏi sự tin tưởng
Bây giờ, chúng ta sẽ đi đến nguồn cơ sự việc. Nó bắt đầu với Andrew Ayer, một nhà nghiên cứu độc lập, đã đăng một bài viết liên quan đến sai phạm của Symantec .Sau đó tất cả các bên liên quan (Symantec, Google, Mozilla, vv) bắt đầu xem xét vấn đề này, và một cuộc điều tra cho thấy có một số vấn đề với Cơ quan đăng ký (RA) mà Symantec đã hợp tác. Những RA này có quan hệ đối tác đặc biệt với Symantec, nơi họ đã xử lý việc xác thực chứng chỉ ở một số vùng ở nước ngoài nơi họ có nhiều kinh nghiệm về ngôn ngữ và cách thức kinh doanh được thực hiện.
Symantec là một người khổng lồ trong thế giới của CA – chứng chỉ của nó được cấp phát chứng nhận khoảng 30% web vào năm 2015. Nhưng Google tuyên bố rằng Symantec đã không nhận trách nhiệm của mình một cách nghiêm túc và đã phát hành ít nhất 30.000 chứng chỉ mà không xác minh chính xác các trang web nhận được chúng. Đó là một cáo buộc nghiêm trọng làm suy yếu sự tin tưởng mà người dùng có thể đặt trên trang web được mã hóa và Google cho biết họ sẽ bắt đầu quá trình không tin tưởng các chứng chỉ Symantec trong trình duyệt Chrome của mình. Symantec lọt vào các tuyên bố của Google, gọi họ là “vô trách nhiệm” và “phóng đại và gây hiểu lầm”.
Google cũng tuyên bố rằng Symantec không tuân thủ các tiêu chuẩn của ngành và không thể cung cấp các kiểm toán hiển thị các tài liệu cần thiết. Bởi vì các công ty này đã phát hành các chứng chỉ trong tên của Symantec (và từ các chứng chỉ gốc của nó), Google cho rằng Symantec không đủ điều kiện để có thể cấp phát chứng chỉ SSL nữa.
Lời phản hồi từ Symantec
Symantec đã trả lời lại cáo buộc của Google ngay sau đó, nói rằng Google đã chọn ra Symantec và đã phóng đại số lượng chứng chỉ bị lỗi dẫn đến vấn đề ngay từ đầu.
“Các phát biểu của Google về thực tiễn phát hành của chúng tôi và phạm vi phát hành sai trái trong quá khứ của chúng tôi đã bị phóng đại và gây hiểu nhầm. Ví dụ: Google tuyên bố rằng chúng tôi đã phát hành sai 30.000 chứng chỉ SSL / TLS, điêu này là không đúng. Trong trường hợp Google đề cập đến, 127 chứng chỉ – không phải 30.000 – đã được xác định là bị phát hành sai và không dẫn đến tổn hại cho người tiêu dùng ”, Symantec đã viết trong một bài đăng trên blog . “Trong khi tất cả các CA lớn đã gặp phải sự cố phát hành chứng chỉ SSL / TLS, Google đã chỉ ra Cơ quan chứng nhận Symantec trong đề xuất của mình mặc dù sự kiện phát hành sai được xác định trong bài đăng trên blog của Google liên quan đến một số CA.”
Theo một chuyên gia khác của Google, Symantec đã hợp tác với các CA khác – CrossCert (Cơ quan chứng nhận điện tử Hàn Quốc), Certisign Certificatadora Digital, Certsuperior S. de RL de CV và Certisur SA – đã không tuân thủ các thủ tục xác minh phù hợp, dẫn đến sự hiểu lầm trong số 30.000 chứng chỉ.
“Symantec đã thừa nhận họ đã tích cực nhận thức điều này cho ít nhất một bên, không tiết lộ điều này cho các chương trình gốc, và không cắt đứt mối quan hệ với bên này,” ông viết . “Ít nhất 30.000 chứng chỉ được các bên này phát hành, không có cách nào độc lập để đánh giá sự tuân thủ của các bên này đối với các tiêu chuẩn dự kiến. Hơn nữa, các chứng chỉ này không thể được xác định kỹ thuật hoặc phân biệt với các chứng chỉ mà Symantec đã thực hiện vai trò xác nhận. ”
Kết thúc
Cuộc tranh luận nào cũng sẽ đi đến hồi kết. Hồi kết giữa Symantec và Google cuối cùng cũng được định đoạt với thắng lợi nghiêng về Google. Hàng loạt các phiên bản Chrome ra mắt đã dần loại bỏ sự tin tưởng chứng chỉ SSL của Symantec được cấp phát trước năm 2016, người dùng chỉ có thể gia hạn lại nếu muốn tiếp tục sử dụng. Còn về phía Symantec thì họ đã phải bán đi mảng cung cấp chứng chỉ SSL cho Digicert.