Google Chrome từ chối chứng chỉ bảo mật trang web của Symantec

Google và Symantec đang lao vào cuộc chiến liên quan đến cấp độ an ninh của nhau, và Google tin rằng Symantec đã phát hành chứng chỉ bảo mật không đúng cho hàng ngàn trang web.

Symantec đang là một trong những nhà cung cấp chứng chỉ CA lớn nhất thế giới

Theo Techcrunch, trang web mã hóa kết nối (sử dụng giao thức HTTPS như trang web ngân hàng hay trang đăng nhập) được cấp chứng chỉ Certificate Authority (CA) cho phép xác minh danh tính chủ sở hữu trang web. CA được hiểu như là một cơ quan nhận hộ chiếu và chứng chỉ tương đương hộ chiếu. Nếu không có chứng thực của CA về nhận dạng chủ sở hữu trang web, người dùng không thể tin tưởng rằng trang web mà họ đang kết nối ở đầu bên kia của HTTPS thực sự là trang web ngân hàng của họ.

Symantec là công ty hàng đầu thế giới về CA khi chứng nhận của hãng đã được chứng thực cho khoảng 30% trang web vào năm 2015. Tuy nhiên, trong bài đăng trên Google Groups, kỹ sư phần mềm Google Ryan Sleevi nói rằng công ty đã phát hiện ra một loạt sai sót trong việc cấp chứng chỉ bảo mật của Symantec.

Theo Google, Symantec đã không thực hiện trách nhiệm một cách nghiêm túc và đã phát hành ít nhất 30.000 chứng chỉ CA mà không xác minh đúng trang web được cấp.

Điều này làm suy yếu lòng tin của người dùng về các trang web mã hóa, vì vậy Google cho biết họ sẽ bắt đầu quá trình hạ cấp chứng chỉ CA của Symantec trong trình duyệt Chrome, buộc hãng bảo mật phải xem xét kỹ việc cấp chứng nhận CA. Nếu không thực hiện điều này, Chrome sẽ hiển thị các cảnh báo bảo mật đến khách hàng khi họ truy cập vào các trang web đạt chứng chỉ CA từ Symantec.

Các trang web được Symantec cấp chứng chỉ CA cần đổi chứng chỉ CA mới trong thời gian tới

Về phần Symantec, công ty cho rằng Google đã “vô trách nhiệm” cũng như “phóng đại và gây hiểu nhầm” cho khách hàng. Tuy nhiên, Symantec cũng cho biết họ sẽ tiến hành thảo luận vấn đề với Google nhằm giải quyết các tranh cãi. Để bắt đầu, công ty đã cắt đứt mối quan hệ với 4 công ty liên kết chứng chỉ đã được cấp phép, mở đường giúp Chrome nâng cao độ tin cậy cho các chứng chỉ mới của Symantec trong tương lai.

Chủ trang web sử dụng chứng chỉ CA của Symantec cần phải bắt đầu các bước đảm bảo người dùng Chrome có thể truy cập vào trang web của họ mà không bị ảnh hưởng bởi các cảnh báo bảo mật trước khi được đổi từ chứng chỉ cũ sang chứng chỉ mới.

Được biết đây không phải là cuộc chiến đầu tiên giữa Google và Symantec. Trong quá khứ, Google tố cáo nhiều lỗ hổng trong các sản phẩm chống virus của Symantec đã tạo cơ hội cho kẻ gian tấn công.

Theo xaluan