Sfondo: Come spiegato ad es. su questo blog aziendale di Google , Google scrive che:
On September 14, around 19:20 GMT, Symantec’s Thawte-branded CA issued an Extended Validation (EV) pre-certificate for the domains google.com and www.google.com. This pre-certificate was neither requested nor authorized by Google.
Secondo questo nuovo blog di Google , sembra che il problema di certificati falsi è stato anche peggio:
Symantec performed another audit and, on October 12th, announced that they had found an additional 164 certificates over 76 domains and 2,458 certificates issued for domains that were never registered.
It’s obviously concerning that a CA would have such a long-running issue and that they would be unable to assess its scope after being alerted to it and conducting an audit.
In questo nuovo post di blog, Google afferma che stanno richiedendo informazioni aggiuntive da Symantec su come questo potrebbe essere successo.
Tuttavia nel loro rapporto ufficiale a proposito questo sembra che Symantec stia minimizzando la gravità della creazione di questi certificati. Nella sezione "Addendum - 12 ottobre 2015" (a partire da pagina 4) la società fa riferimento a questi come certificati "di prova" (sottolineatura mia):
On October 8, 2015, after follow-on questions from industry partners, we reopened our investigation, and identified a set of test certificates that were not included in our original analysis.
While our current investigation is ongoing, so far we have found 164 additional instances where test certificates were inappropriately issued. All of these test certificates have been revoked. These test certificates were spread over 76 domain owners whom we are in the process of contacting.
a p. 2 del report (prima che fosse aggiunta la sezione di questo addendum), Symantec afferma che:
Most importantly, these test certificates never posed a risk to anyone or any organization, as the certificates never left Symantec’s secure test labs or the QA test machine, and they were never visible to any end user. [...] One of these test certificates with a CN=www.google.com was an Extended Validation (EV) test certificate and was logged to public Certificate Transparency (CT) log servers which is standard practice by default for EV certificates issued by CAs. Logging to a CT server did not in any way make the test certificate usable – it was only detectable by CT monitors.
La spiegazione sopra sembra (?) per chiarire in che modo Google è stata in grado di scoprire i certificati (tramite i monitor CT) se non hanno mai lasciato i laboratori di test di Symantec.
Da un lato sembra che Google stia facendo un grosso problema su questo incidente, mentre Symantec si sta comportando come se fosse solo una "prova".
Le domande che vorrei porre sono tuttavia su questa sezione in p.2 del rapporto Symantec ...
The list of organizations impacted by these test certificates includes Google, Opera, and three (3) other organizations who have not requested or approved disclosure of their domains.
... e questa sezione sull'ultima pagina in cui il rapporto dice:
We have received requests from the Browser community for the certificate details so they can update their black lists accordingly. The certificate details are available here for their reference...
... dopo di che il rapporto fornisce due link:
- "Elenco dei certificati di prova dei domini di proprietà" e
- "Elenco dei certificati di prova dei domini non registrati"
Non sono sicuro, ma sembra che i domini di quelle 3 "altre organizzazioni" che non volevano che i loro domini fossero divulgati non sarebbero stati inseriti nella lista nera.
Le domande sono:
- Perché la comunità dei browser dovrebbe / desidera una lista nera se questi certificati "innocui" mai lasciato i laboratori di test di Symantec?
- D'altra parte, se questa è una cosa più seria, sarebbe utile per gli utenti del browser avere una lista nera dei domini interessati. In questo caso, perché 3 organizzazioni non vogliono la loro domini divulgati?
( Aggiornamento: ha riscritto la seconda domanda per chiedere espressamente sul motivo per cui le 3 organizzazioni potrebbero non volere che i loro domini vengano divulgati.)