Symantec heeft deze week onterecht een Extended Validation (EV) pre-certificaat voor google.com en www.google.com uitgegeven, zonder dat Google hierom had gevraagd of hier toestemming voor had gegeven. Het certificaat werd door Google zelf ontdekt.
Naast beveiligingsdiensten levert Symantec ook SSL-certificaten, bedoeld voor het identificeren van websites en het versleutelen van verkeer tussen websites en bezoekers. Hiervoor heeft het verschillende merken, zoals VeriSign, GeoTrust, Thawte en RapidSSL. Al een aantal jaren is Symantec de grootste speler op de markt van SSL-certificaten.
In het geval van het onterecht uitgegeven certificaat werd dit door Thawte uitgegeven en via Certificate Transparency (CT) ontdekt. Dit is een door Google zelf ontwikkelde technologie die verschillende structurele fouten in het SSL-certificaatsysteem moet verhelpen. Daardoor moeten onterecht uitgegeven en malafide SSL-certificaten eerder worden ontdekt. Bij Certificate Transparency moet een met SSL-versleutelde website bewijs aanleveren dat het certificaat in een publieke CT-log voorkomt.
Een CT-log is een eenvoudige netwerkdienst die een archief van SSL-certificaten bijhoudt. Certificaten kunnen alleen aan dit log worden toegevoegd en niet worden verwijderd of aangepast. In het geval van EV SSL-certificaten, de duurdere variant van een normaal SSL-certificaat die de adresbalk deels of geheel groen maakt, zijn CT-logs sinds dit jaar verplicht in Google Chrome.
Tijdens het onderzoek bleek dat Symantec de certificaten tijdens een intern testproces had aangemaakt. Inmiddels heeft Google een update uitgebracht zodat Chrome het onterecht uitgegeven certificaat niet accepteert. Daarnaast was het certificaat voor slechts een dag geldig. Volgens Google zijn er op dit moment geen aanwijzingen dat gebruikers risico hebben gelopen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Senior Security Consultant
Als security consultant bij Cegeka speel je een uitermate belangrijke rol in het veilig houden van de bedrijven in Nederland en de Nederlandse maatschappij. Vandaar ook dat Cegeka dit hoog op de agenda heeft staan. Wij doen dit door, in close cooperation, onze klanten advies te geven op strategisch, tactisch en operationeel niveau.
Wanneer mensen een eigen device (BYOD) mee nemen naar werk: hoe bescherm jullie je daartegen? (Ben zelf tegen het gebruik van ...
Juridische vraag: Bij ons bedrijf is gekozen voor bring-your-own-device, waarbij mensen zelf privé een laptop mogen kopen en ...
Een digitaal paspoort, recht op betaalbaar en snel internet, 'digitale inburgering' of digitaal stemmen, het zijn slechts een ...
Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.
Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.
Geef je e-mailadres op en kies een alias van maximaal 30 karakters.
Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.