Symantec ออกใบรับรอง Google.com แบบ EV โดยไม่ได้รับอนุญาต, ไล่พนักงานที่เกี่ยวข้องออกแล้ว

กูเกิลตรวจพบใบขอรับรอง (pre-certificate) แบบ Extended Validation (EV) สำหรับโดเมน google.com และ www.google.com ออกโดย Thawte ผู้ให้บริการ CA ของ Synmantec เมื่อวันที่ 14 กันยายนที่ผ่านมา โดยที่กูเกิลไม่ได้ร้องขอให้ออกใบรับรองนี้ อย่างไรก็ดีใบรับรองนี้มีอายุเพียงหนึ่งวันเท่านั้น

ทาง Symantec ระบุว่าใบรับรองเหล่านี้ออกมาเพื่อทดสอบสินค้าของบริษัทเป็นการภายใน ตอนนี้ตัวใบรับรองและกุญแจยังอยู่ในความควบคุมของบริษัทและไม่ได้หลุดออกไปภายนอก ทาง Symantec สอบสวนการออกใบรับรองเหล่านี้และพบว่าพนักงานบางคนไม่ทำตามกระบวนการที่ได้รับการฝึกมาก่อนแล้ว และตัดสินใจไล่พนักงานเหล่านั้นออกจากบริษัท

ทีมงานของกูเกิลพบใบขอรับรองนี้จากกระบวนการ Certificate Transparency ที่ CA จำนวนมากประกาศรับกระบวนการนี้แล้วตั้งแต่ต้นปีที่ผ่านมา

ที่มา - Google Online Security Blog, Symantec

Google, Security, Symantec

from Blognone https://www.blognone.com/node/72702
via IFTTT