Google heeft scherpe kritiek geuit op de handelwijze van Symantec Corporation bij het verstrekken van certificaten. Het bedrijf gaat het vertrouwen van Chrome in oude ssl-certificaten van Symantec afbouwen en de geldigheidsperiode van nieuwe verkorten.
Sinds 19 januari doet Google onderzoek naar problemen bij de uitgifte van certificaten door Symantec. Aanvankelijk betrof het onderzoek 127 certificaten, maar door verklaringen van Symantec is dat aantal uitgebreid tot minstens 30.000 certificaten.
Symantec heeft in strijd gehandeld met de principes die zijn verankerd in Chrome's Root Certificate-beleid en daarmee Chrome-gebruikers aan risico's blootgesteld, claimt Google. De toegang tot Symantecs certificaatinfrastructuur door vier partners van het bedrijf zou hebben geleid tot uitgifteproblemen en ook zou het beveiligingsbedrijf onvoldoende toezicht hebben gehouden. Daarnaast zou het bedrijf laks hebben gereageerd op bewijzen van de problemen.
In antwoord daarop gaat Google het vertrouwen in de certificaten door Chrome afbouwen. Chrome 59 beschouwt Symantec-certificaten van 33 maanden oud nog als valide, bij versie 62 is dat bijvoorbeeld nog maar 15 maanden, terwijl de laatste versie, Chrome 64, een geldigheidsperiode van 9 maanden hanteert. Van alle nieuw uitgegeven Symantec-certificaten is de maximale periode voor validiteit op 9 maanden gezet. De maatregel maakt dat veel certificaten opnieuw gevalideerd en vervangen moeten worden.
Om direct het vertrouwen bij alle browserversies op te zeggen achtte Google nog een stap te ver. In januari 2015 was 30 procent van alle valide certificaten afkomstig van Symantec. Inmiddels zal dat percentage gedaald zijn volgens Google, maar het direct opzeggen van het vertrouwen zou tot veel compatibiliteitsproblemen zorgen. Inderdaad lijkt het percentage nu eerder rond 15 procent te liggen.
De aanleiding van het onderzoek lag bij het intrekken van onterecht uitgegeven certificaten door Symantec in januari. Volgens het bedrijf lag de oorzaak bij een van zijn 'vertrouwde partners', die dus toegang had tot de infrastructuur van Symantec.
Update 18.00: Google schrapt eveneens de extended validation-status die door certificate authorities van Symantec zijn uitgegeven. Deze status zorgt ervoor dat browsers prominent tonen dat de eigenaar van een domein geverifieerd is. Chrome zal deze extra garantie dus niet meer weergeven. Inmiddels heeft Symantec een reactie gegeven over de stappen van Google. Ars Technica publiceert deze. Het beveiligingsbedrijf claimt niet op de hoogte te zijn gebracht over de besluiten: "We maakten pas kennis met Googles voorstellen toen het ze op zijn blog zetten. De mededeling was onverwacht en de voorgestelde besluiten zijn onverantwoordelijk. Onze ssl/tls-certificaatklanten moeten weten dat dit geen handeling van hen vergt op dit moment."