Symantec-certifikater fejludstedt til example.com

Ved en fejl er flere certifikater blevet udstedt til blandt andet example.com.

Symantec har måttet tilbagekalde flere fejludstedte certifikater. Det fortæller The Register.

Certifikater kan blandt andet bruges til at lave 'grøn hængelås' i browseren.

I sidste uge opdagede Andrew Ayer fra cerfifikat-leverandøren SSLMate således flere fejludstedte certifikater til example.com, ligesom en stribe andre certifikater, der ligeledes lignede en fejl, var blevet udstedt til varianter af test.com (test1.com, test2.com etc.)

Lørdag svarede Steve Medin fra Symantec i en mailingliste på Andrew Ayers opdagelse:

»The listed Symantec certificates were issued by one of our WebTrust audited partners. We have reduced this partner's privileges to restrict further issuance while we review this matter. We revoked all reported certificates which were still valid that had not previously been revoked within the 24 hour CA/B Forum guideline - these certificates each had "O=test". Our investigation is continuing.«

Medin fortalte ifølge The Register videre, at virksomheden stadig undersøger, hvad der gik galt.

Det er ikke første gang, certifikater relateret til Symantec er kommet i uføre. The Register fortæller, at i 2015 røg Symantecs 'Class 3 Public Primary CA'-rod-certifikat således på Googles ikke-trustede liste.

Google henviste dengang til, at 'Symantec has decided that this root will no longer comply with the CA/Browser Forum's Baseline Requirements'.

Symantec forsvarede sig med, at de pågældende certifikater mest blev brugt til interne test eller blev udstedte til en lille håndfuld legacy-kunder.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere