หน้าแรก Security Symantec ถูกตรวจพบว่าออก Cert. อย่างไม่ถูกต้อง เป็นครั้งที่สองในรอบสองปี

Symantec ถูกตรวจพบว่าออก Cert. อย่างไม่ถูกต้อง เป็นครั้งที่สองในรอบสองปี

แบ่งปัน
symantec

นักวิจัยอิสระ Andrew Ayer ตรวจพบว่า Symantec ได้ออกใบประกาศรับรองความปลอดภัยทางอิเล็กทรอนิกส์ในลำดับชั้น Transport ที่ไม่ถูกต้องกว่า 108 รายการ ซึ่งนับเป็นครั้งที่สองหลังจากเกิดเหตุการณ์ครั้งแรกได้ในไม่ถึงสองปี

โดยข้อมูลรหัสของใบประกาศดังกล่าวถือว่าละเมิดข้อตกลงด้านมาตรฐานความปลอดภัยสากล โดยมีใบประกาศกว่า 9 รายการที่ออกโดยไม่ได้รับอนุญาตหรือมีการรับรู้จากผู้รับผิดชอบโดเมน ส่วนอีก 99 รายการถูกออกให้แก่บริษัทที่พบว่าข้อมูลบนเว็บนั้นปลอมอย่างชัดเจน โดย Ayer ได้เขียนอธิบายบนบล็อกของตนเองเมื่อวันที่ 19 มกราคมที่ผ่านมา

Ayer ได้มีรายงานปัญหานี้แก่ Symantec ซึ่งได้รับการติดต่อกลับว่า กำลังสืบสวนและจะรายงานผลให้ทราบโดยเร็ว จากนั้นใบประกาศที่ไม่ถูกต้องหลายรายการได้ถูกยกเลิกภายในไม่ถึงชั่วโมง

ทางโฆษกของ Symantec ได้กล่าวว่าใบประกาศที่มีปัญหา ได้ถูกออกโดยบริษัทที่เป็นพาร์ทเนอร์ WebTrust ของตัวเอง ซึ่งขณะนี้ได้จำกัดสิทธิ์การออกใบประกาศของบริษัทนี้แล้ว

เมื่อปี 2558 Symantec ได้เลิกจ้างพนักงานที่เกี่ยวข้องกับกรณีออกใบประกาศรับรอง HTTP ไม่ถูกต้องสำหรับเว็บของกูเกิ้ล ซึ่งขณะนั้นกูเกิ้ลได้แจ้งเตือน Symantec ให้ทบทวนและปรับปรุงกระบวนการตรวจสอบใบประกาศรับรองให้ดีกว่าเดิมแล้ว

ที่มา : https://www.scmagazine.com/once-again-symantec-spotted-improperly-issuing-certs/article/633266