較早前,Symantec 的員工錯誤發出未許可的證書,幸得 Google 察覺此事。相關的員工已被 Symantec 開除,網絡安全亦未受影響。
Symantec 於網誌中透露,於產品測試時,與三個域名有關的證書被錯誤發出。雖然如此,情況仍然在掌握之中,他們發現時現立即將之銷毀,對域名和整個互聯網都無影響。Google 就指,Symantec 發出了 Thawte 的延伸認證(Extended Validation, EV)到 google.com 和 www.google.com 域名,但 Google 本身沒有作出有關的申請。
事件是由 Google 監察 Certificate Transparency 的員工揭發。Certificate Transparency 是 Google 的一個計劃,用來解決 SSL 證書系統的漏洞。之後,Google 就通知 Symantec ,並在 Chrome 中把這個證書廢除,誤發的證書只得一日有效;Google 又指沒有理由相信用戶的私隱和安全會受到這次錯誤而影響。Symantec 亦把肇事員工革職。
假如誤發的證書落入不法分子手中,證書就可以被網站用作假扮 Google 正當網站,甚至被用來截取密碼、登入 Cookies 和其他來往 Google 網站的流量。
Source : zdnet