Истина где-то ниже
Август 28, 2018

Новая версия Firefox не признает TLS-сертификаты Symantec

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Очередной релиз браузера Firefox будет помечать сайты с TLS-сертификатами Symantec как небезопасные. Бета-версия программы появится в начале сентября, а стабильная сборка должна увидеть свет 23 октября. Аналогичным функционалом обзаведется и Chrome 70, выпуск которого запланирован на 16 октября. Разработчики интернет-обозревателей предприняли такие шаги в рамках реализации поэтапного плана по снижению доверия к сертификационному центру и его партнерам.

Проблемы с сертификатами, выданными Symantec, начались в 2015 году, когда стало известно, что компания выпустила несколько удостоверений безопасности, не проверив подлинность сайта. Дальнейшее расследование деятельности оператора показало, что он регулярно пренебрегал правилами, установленными CA-сообществом, и подписал не менее 30 тыс. сомнительных свидетельств.

Санкции Mozilla, Google, а также присоединившейся к ним Apple коснутся и сертификатов, выпущенных дочерними компаниями Symantec. Браузеры будут считать ненадежными свидетельства, выданные центрами GeoTrust, Thawte, RapidSSL и VeriSign.

Несмотря на то, что разработчики браузеров заранее предупредили о своих планах, сертификатами Symantec по-прежнему пользуются многие сайты, среди которых корпоративные ресурсы Первого национального банка Пенсильвании, Эстонского банка LHV, а также официальный магазин Sony Playstation.

Возможно, некоторые из этих сайтов планируют заменить ненадежные свидетельства на удостоверения безопасности, выданные компанией DigiCert. Таким образом обновил свой сертификат платежный сервис PayPal, который ранее являлся клиентом Symantec.

Компания DigiCert приобрела сертификационный бизнес Symantec и его дочерних структур в октябре 2017 года. Оператор планирует бесплатно выдать новым клиентам свои TLS-подписи, чтобы владельцы проблемных свидетельств избежали попадания в черный список браузеров.

Еще одна дочерняя структура Symantec, компания LifeLock, недавно подверглась критике ИБ-специалистов. Один из исследователей обнаружил брешь в корпоративном портале и сумел при помощи несложного скрипта собрать адреса электронной почты подписчиков рассылки. По словам эксперта, эти данные могут быть использованы злоумышленниками для доставки спама и фишинга.

Источник: https://threatpost.ru/new-firefox-will-distrust-symantec-tls/27918/