Symantec achou um exagero o anúncio feito pelo Google sobre seus certificados SSL EV

O Google anunciou na semana passada seus planos de punir a Symantec por desconfiar das validações feitas para emissão dos seus certificados SSL de Validação Estendida (EV) nos últimos anos.

O status Extended Validation (EV) de todos os certificados emitidos pelas autoridades de certificação de propriedade da Symantec, segundo a nota do Google, deixariam de ser reconhecidos pelo navegador Chrome por pelo menos um ano até que a Symantec corrigisse seus processos de emissão de certificados para que possa ser confiável novamente.

Certificados de validação estendida fornecem o mais alto nível de confiança e autenticação, onde antes de emitir um certificado, autoridade de certificação deve verificar a entidade jurídica requerente existência e identidade.

Uma das partes importantes do ecossistema SSL é a confiança, mas se as autoridades certificadoras não verificarem corretamente a existência legal e a identidade antes de emitir certificados EV para domínios, a credibilidade desses certificados será comprometida.

Para tranquilizar seus clientes no mundo todo a Symantec respondeu em seu blog que o Google em seu anúncio usou alegações não verídicas e considerou um exagero por parte da empresa de busca.

“Somos fortemente contra a ação que o Google tomou sobre os certificados SSL / TLS da Symantec no navegador Chrome. Essa ação foi inesperada e acreditamos que a postagem no blog foi irresponsável. Embora todas as principais Autoridades Certificadoras tenham tido eventos de emissão de certificados SSL / TLS, o Google destacou a Symantec em seu comunicado e o evento de emissões  incorretas envolveu várias outras ACs”, diz a nota do blog da Symantec.

Segundo a Symantec ainda, foram identificados que apenas 127 certificados foram emitidos de forma errada – e não 30.000 e não houve nenhum prejuízo para o consumidor porque medidas necessárias foram imediatamente tomadas. Foi identificado o parceiro envolvido como uma Autoridade de Registro (AR), e em uma tentativa de reforçar a confiança da Symantec na emissão dos certificados  SSL / TLS, a Cia anunciou a descontinuação do seu programa de Autoridade de Registro.

Eder Souza | Co-fundador da e-Safer e colunista do Crypto ID

Segundo Eder Souza,  cofundador e diretor da tecnologia da e-Safer que é um dos parceiros de negócios da Symantec no Brasil para a emissão de certificados SSL.

“Ficamos estarrecidos sobre a notícia veiculada na última semana e preocupados com os resultados que ela pode trazer ao mercado de certificados SSL. Acompanhamos o episódio com a proximidade que foi permitida, pois tudo ainda é tratado com muito sigilo por parte dos envolvidos e isso em decorrência da severidade que a proposta do Google pode trazer aos milhões de usuários que atualmente são clientes da Symantec.

Em um primeiro momento recordamos de outros acontecimentos desta natureza, como o ocorrido com a Comodo em 2011, quando aproximadamente uma dezena de certificados digitais SSL foram indevidamente emitidos para domínios importantes, como Microsoft, Google e outros ou a grande invasão de hackers à Diginotar, uma Autoridade Certificadora que atendia ao governo holandês e resultou na paralisia de diversos órgãos públicos.

No caso da Symantec, segundo o Google, aproximadamente 30.000 certificados SSL EV foram emitidos de forma inadequada e com isso o Google está propondo sanções como, deixar de reconhecer os certificados EV no Chrome, reduzir a validades dos certificados para 9 meses e até a revalidação e emissão dos certificados anteriormente emitidos.

Para nós essas propostas trarão um impacto muito grande aos nossos clientes e principalmente para a imagem da empresa, que herdou esse mercado na aquisição da Verisign, uma empresa que esteve presente desde o início e ajudou a levar o mercado e a tecnologia ao estágio atualmente visto por todos.

Segundo a Symantec, a redução na validade dos certificados já é um tema atualmente discutido com os membros do CA/Browser Fórum e que o número de 30.000 certificados SSL emitidos inadequadamente não está correto, sendo somente 127 certificados digitais foram emitidos inadequadamente e assim ainda existem muitos pontos a serem esclarecidos.

Nós, que conhecemos esse mercado e a Symantec, confirmamos a seriedade com que os processos de emissão são conduzidos e temos certeza de que tudo será esclarecido e os impactos para os clientes será o mais brando possível para um fato como esse.”

Leia: GTS – Google lança sua própria AC para emissão de SSL/TLS