Google vuole invalidare molti dei certificati emessi da Symantec perché “è venuta a mancare la fiducia”
C’è un’aria piuttosto tesa tra Google e Symantec. Il colosso di Mountain View ha annunciato con un post sulla piattaforma Chronium di voler invalidare decine di migliaia di certificati SSL/TLS emessi dall’azienda di sicurezza nel corso di questi anni. Big G afferma di avere “fiducia nelle policy e nelle pratiche istituite da Symantec per il rilascio dei propri certificati” e che l’operazione di invalidamento sarà graduale. I primi a sparire saranno quelli con validità massima di 33 mesi accettati dalla versione 59 di Chrome fino ad arrivare ai 9 mesi della release 64 del browser. Google ha inoltre proposto una validità standard di 9 mesi per tutti i nuovi certificati a partire dalla versione 61 di Chrome.
Symantec, come si può capire dal post di risposta sul proprio blog, sembra sia rimasta piuttosto sorpresa dall’atteggiamento di Google e ha definito “inaspettata” la sua decisione. Il colosso della sicurezza ha definito “irresponsabili” i tecnici di Chrome e che i dati riguardanti i certificati compromessi sarebbero “esagerati e fuorvianti”. Symantec pare abbia preso la questione molto sul personale sottolineando che “benché i certificati identificati da Google appartenessero anche a diverse altre CA” Big G ha scelto di invalidare solamente quelle da lei rilasciate. L’azienda di Cupertino si è comunque detta disponibile a discutere con Google per risolvere la situazione.
