Symantec achou um exagero o anúncio feito pelo Google sobre seus certificados SSL EV | CRYPTOID

Symantec achou um exagero o anúncio feito pelo Google sobre seus certificados SSL EV Regina Tupinambá

O Google anunciou na semana passada seus planos de punir a Symantec por desconfiar das validações feitas para emissão dos seus certificados SSL de Validação Estendida (EV) nos últimos anos.

O status Extended Validation (EV) de todos os certificados emitidos pelas autoridades de certificação de propriedade da Symantec, segundo a nota do Google, deixariam de ser reconhecidos pelo navegador Chrome por pelo menos um ano até que a Symantec corrigisse seus processos de emissão de certificados para que possa ser confiável novamente.

Certificados de validação estendida fornecem o mais alto nível de confiança e autenticação, onde antes de emitir um certificado, autoridade de certificação deve verificar a entidade jurídica requerente existência e identidade.

Uma das partes importantes do ecossistema SSL é a confiança, mas se as autoridades certificadoras não verificarem corretamente a existência legal e a identidade antes de emitir certificados EV para domínios, a credibilidade desses certificados será comprometida.

A Symantec respondeu em seu blog o anúncio do Google para tranquilizar seus clientes no mundo todo e afirmou que a alegação de erro de emissão de 30.000 certificados SSL feitos pelo Google não são verídicas e considerou um exagero.

“Somos fortemente contra a ação que o Google tomou sobre os certificados SSL / TLS da Symantec no navegador Chrome. Essa ação foi inesperada e acreditamos que a postagem no blog foi irresponsável. Embora todas as principais Autoridades Certificadoras tenham tido eventos de emissão de certificados SSL / TLS, o Google destacou a Symantec em seu comunicado e o evento de emissões incorretas envolveu várias outras ACs”, diz a nota do blog da Symantec.

Segundo a Symantec ainda, foram identificados que apenas 127 certificados foram emitidos de forma errada – e não 30.000 e não houve nenhum prejuízo para o consumidor porque medidas necessárias foram imediatamente tomadas. Foi identificado o parceiro envolvido como uma Autoridade de Registro (AR), e em uma tentativa de reforçar a confiança da Symantec na emissão dos certificados SSL / TLS, anunciou a descontinuação do seu programa de Autoridade de Registro.

Eder Souza | Co-fundador da e-Safer e colunista do Crypto ID

Segundo Eder Souza, cofundador da e-Safer e diretor da tecnologia que é um parceiro de negócios da Symantec, para a emissão de certificados SSL

“Ficamos estarrecidos sobre a notícia veiculada na última semana e preocupados com os resultados que ela pode trazer ao mercado de certificados SSL. Acompanhamos o episódio com a proximidade que foi permitida, pois tudo ainda é tratado com muito sigilo por parte dos envolvidos e isso em decorrência da severidade que a proposta do Google pode trazer aos milhões de usuários que atualmente são clientes da Symantec.

Em um primeiro momento recordamos de outros acontecimentos desta natureza, como o ocorrido com a Comodo em 2011, quando aproximadamente uma dezena de certificados digitais SSL foram indevidamente emitidos para domínios importantes, como Microsoft, Google e outros ou a grande invasão de hackers à Diginotar, uma Autoridade Certificadora que atendia ao governo holandês e resultou na paralisia de diversos órgãos públicos.

No caso da Symantec, segundo o Google, aproximadamente 30.000 certificados SSL EV foram emitidos de forma inadequada e com isso o Google está propondo sanções como, deixar de reconhecer os certificados EV no Chrome, reduzir a validades dos certificados para 9 meses e até a revalidação e emissão dos certificados anteriormente emitidos.

Para nós essas propostas trarão um impacto muito grande aos nossos clientes e principalmente para a imagem da empresa, que herdou esse mercado na aquisição da Verisign, uma empresa que esteve presente desde o início e ajudou a levar o mercado e a tecnologia ao estágio atualmente visto por todos.

Segundo a Symantec, a redução na validade dos certificados já é um tema atualmente discutido com os membros do CA/Browser Fórum e que o número de 30.000 certificados SSL emitidos inadequadamente não está correto, sendo somente 127 certificados digitais foram emitidos inadequadamente e assim ainda existem muitos pontos a serem esclarecidos.

Nós, que conhecemos esse mercado e a Symantec, confirmamos a seriedade com que os processos de emissão são conduzidos e temos certeza de que tudo será esclarecido e os impactos para os clientes será o mais brando possível para um fato como esse.”

O post Symantec achou um exagero o anúncio feito pelo Google sobre seus certificados SSL EV apareceu primeiro em CRYPTOID. http://ift.tt/2n97AYB http://ift.tt/2aM8QhC

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s