Добро пожаловать в Клуб Любителей Симантек!
Пока собрано 3450 рублей. Из них через виджет - 3250. Спасибо за понимание!
Показано с 1 по 3 из 3
  1. #1
    Аватар для SkyNet
      Призёр Викторины
     Эксперт по Windows 

    Куратор новостей
    Norton Forever!
    Активный участник
    Статус: SkyNet вне форума
    Регистрация : 02.02.2015
    Адрес : -
    Сообщений : 1,414
    Поблагодарил(а) 957
    Поблагодарили : 2,250 раз(-а), в 1,223 сообщениях
    Репутация : 3263Array

    Google удалит корневой сертификат Symantec из своих продуктов

    Компания Google сообщила, что в самое ближайшее время изымет из Chrome, Android и прочих продуктов корневой сертификат компании Symantec. Представители Google утверждают, что этот шаг вызван стремлением обезопасить пользователей, так как неясно, для чего Symantec использует данный сертификат.

    1 декабря 2015 года компания Symantec прервала действие корневого сертификата VeriSign G1 (Class 3 Public Primary CA), который ранее использовался для подписания публичного кода и работы с TLS/SSL сертификатами. Хотя компания уведомила Google о том, что в дальнейшем этот корневой сертификат еще планируют использовать, Symantec отказалась объяснять, как именно он будет применяться и с какими целями. В результате служба безопасности Google приняла решение не поддерживать сертификат вовсе и удалить из списка надежных. Инженер компании Райн Сливи (Ryan Sleevi) поясняет в блоге, что VeriSign G1 более не соответствует требованиям CA/Browser Forum Baseline Requirements.

    «Эти требования являются отражениям передовых практик индустрии и являются основой работы публичных доверенных сертификатов. Несоответствие данным требованиям, это неприемлемый риск, ставящий под угрозу всех пользователей продуктов Google, — пишет Сливи. — Так как компания Symantec не сумела разъяснить новое предназначение сертификатов, но знала о риске, которому будут подвергнуты пользователи Google, нас попросили превентивно удалить этот корневой сертификат и прервать его действие. Этот шаг необходим, так как данный сертификат широко используется платформами Android, Windows и OS X».
    Symantec, в освою очередь, отмечает, что остановка работы сертификата полностью соответствует нормам CA/Browser Forum Baseline Requirements. Представители компании уверяют, что делают такое не в первый раз, но никогда ранее уведомление разработчиков браузеров об очередном неработающем корневом сертификате не приводило к таким последствиям.

    Компания предупреждает пользователей, что их браузеры вскоре могут перестать поддерживать сертификат, что может привести к возникновению ошибок. Тем не менее, Сливи пишет, что представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.

    Впервые претензии к Symantec возникли у Google в октябре 2015 года, после инцидента с публикацией фальшивых SSL-сертификатов с расширенной проверкой для доменов google.com и www.google.com. Тогда представители Symantec извинялись, уверяли, что произошла ошибка, а сертификаты были созданы исключительно в мирных, исследовательских целях. Дальнейшее расследование показало, что компания обнародовала 23 тестовых сертификата, из которых 6 затрагивали домены Google, а еще 7 домены Opera. Впоследствии удалось выявить еще 164 сертификата, покрывающих 76 доменов. Более того, оказалось, что Symantec использовала свыше 2400 сертификатов для незарегистрированных доменов, хотя такая практика была отменена еще в апреле 2014 года.

    Хотя тогда представители Symantec утверждали, что тестовые сертификаты не могли представлять никакого риска для пользователей, в Google посчитали иначе и порекомендовали Symantec поработать над безопасностью в данной области.

    Сейчас, в ситуации с корневым сертификатом VeriSign G1, представители Symantec считают, что Google раздувает из мухи слона, но подчеркивают, что этот инцидент никак не связан с октябрьскими событиями.
    Источник: хакер.ru

  2. 2 пользователей сказали cпасибо SkyNet за это полезное сообщение:

    SDA (15.12.2015),Энди-701 (16.12.2015)

  3. #2
    Аватар для Энди-701
    Совладелец Клуба
    Совет Клуба
    Norton Forever!
    Партнёр Symantec
    Администратор
    Статус: Энди-701 вне форума
    Регистрация : 01.05.2010
    Адрес : Россия, Центр
    Сообщений : 11,400
    Поблагодарил(а) 12,422
    Поблагодарили : 23,724 раз(-а), в 7,960 сообщениях
    Записей в дневнике : 8
    Репутация : 23800Array
    Гугле похоже просто решил попиариться на ошибках от якобы Симантек.

    А упомянутые сертификаты были наклепаны в Thawte, дочерней компании Symantec.
    Она выпускает сертификаты безопасности, предназначенные для внутреннего тестирования.

    Как это было? Читайте здесь: http://www.symantec.com/connect/blogs/tough-day-leaders

    представители Symantec сообщили Google, что удаление сертификата никак не скажется на их пользователях.
    Раздули слона из мухи.
    А что будет с гугле-браузером, если Нортон будет его детектить как недоверенное и вредоносное приложение.
    Или с гугле-рекламой...

    История вражды продолжается.

    Прямо как у классиков жанра.


    Norton by Symantec — лучшая комплексная защита Windows и персональных данных!

  4. 2 пользователей сказали cпасибо Энди-701 за это полезное сообщение:

    SDA (16.12.2015),SkyNet (16.12.2015)

  5. #3
    Аватар для Ansar
    Norton Forever!
    Активный участник
    Статус: Ansar вне форума
    Регистрация : 03.01.2013
    Сообщений : 165
    Поблагодарил(а) 22
    Поблагодарили : 532 раз(-а), в 145 сообщениях
    Репутация : 1546Array
    Поставлена под сомнение валидность 30 тысяч HTTPS-сертификатов удостоверяющего центра Symantec - https://www.opennet.ru/opennews/art.shtml?num=46252

 

 

Информация о теме

Пользователи, просматривающие эту тему

Эту тему просматривают: 1 (пользователей: 0 , гостей: 1)

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •