Скандал между двумя лидерами IT-отрасли — компаниями Google и Symantec — разгорелся еще в сентябре, когда ИБ-эксперты Google в рамках программы Certificate Transparency (CT), нацеленной на выявление поддельных SSL-сертификатов, уличили Symantec в генерации фальшивых электронных подтверждений для доверенных доменных имен Google.com. Оправдываясь, руководство Symantec заявило, что казус вышел из-за ошибок сотрудников, которые для тестирования программных продуктов выпускали 1-дневные SSL-сертификаты. При этом подчеркивалось, что к злоумышленникам эти ИБ-атрибуты попасть не могли. В тот же день несколько причастных к генерации фальшивок сотрудников Symantec были уволены…
Для более точного описания инцидента важно указать, что скандальный рецидив с фальшивками был выявлен в дочерней компании Symantec — Thawte, которая для лабораторных испытаний по своему усмотрению выпускала сертификаты с легальной CERT-атрибутикой Google.com, что позволяло всем тестируемым продуктам «представляться» в сети через веб-браузеры доверенными ресурсами. Корпоративная ИБ-служба Google такую деятельность дочки Symantec сочла опасной для репутации техногиганта и компрометирующей его бизнес в целом. В процессе предварительного расследования был доказан выпуск 23 лже-сертификатов, «козыряющих» доменом Google.com, Opera.com и еще тремя другими неназванными организациями.
А вот когда к аудиторам подключились ИБ-специалисты Google, открылось, что выпуск фальшивок под патронажем Symantec был поставлен на широкую ногу. Инженер-программист Google Райан Сливи, обнаружив в сети еще несколько не внесенных в отчет Symantec сертификатов, потребовал провести углубленный ИБ-аудит с выяснением всех обстоятельств выпуска несанкционированных сертификатов. И уже 12 октября в свежем отчете Symantec фигурировали 164 неучтенных SSL-сертификатов для 76 доменных имен, а также 2458 сертификатов — для доменов без регистрации.
В своем комментарии инцидента Слив отметил: «мы будем требовать, чтобы к 1 июня 2016 года все выданные Symantec сертификаты были рассмотрены в рамках протокола CT». При этом он добавил, что если бы расширенная проверка (Extended Validation) сертификатов по программе CT проводилась ранее, то для инцидента просто не было бы почвы. Вместе с тем в компании Google заявили, что отныне все сертификаты с указанием ее доверенных доменных имен Symantec будет выпускать на основе согласованного с Google графика. Кроме того, до лета 2016 года компании Symantec предлагалось провести внутренний независимый ИБ-аудит по широкому кругу профильных ИБ-задач: от проверки уровня безопасности генерируемых ключей пользователя — до модулей защиты информации разрабатываемого софта.
При отказе Symantec выполнять указанные требования Google обещал с помощью своих «агентов влияния» — браузера Google Chrome и других фирменных приложений Google — запустить маховик анти-пиара, при котором пользователя повсюду в сети будут сопровождать предупреждения о том, что все сайты с сертификатом Symantec не гарантируют безопасность. По мнению аналитиков, такие меры вынудят веб-разработчиков HTTPS-платформ не принимать в расчет выпущенные Symantec SSL-сертификаты, что, очевидно, негативно скажется на бизнесе и репутации компании.
В Symantec с готовностью признали справедливость полученной критики и заявили, что процесс присоединения к программе CT уже запущен, а подробный отчет об аудите сторонними ИБ-экспертами будет представлен еще до начала 2016 года. Публично пообещав не допускать подобных инцидентов впредь, руководство Symantec сообщило о том, что «все тестовые сертификаты были отменены и аннулированы», а сертифицированные по данной схеме браузеры внесены в черный список.
