بعد از اینکه معلوم شد شرکت Symantec در چند سال گذشته ۳۰۰۰۰ گواهیِ تمدید اعتبارسنجی (EV) نادرست صادر کرده است، شرکت گوگل برنامه‌ی خود برای مجازات این شرکت بابت ایجاد بی‌اعتمادیِ تدریجی به گواهی‌های SSL آن را اعلام کرد.

وضعیت  کلیه‌ی گواهی‌های EV منتشرشده توسط مقامات Symantec حداقل برای یک سال به رسمیت شناخته نخواهد شد تا اینکه Symantec فرایند صدور گواهی‌های خود را اصلاح کند تا دوباره قابل اعتماد شود.

انتظار می‌رود که گواهی‌های تمدید اعتبارسنجی بیشترین سطح از اعتماد و احراز هویت (authentication) را داشته باشند زیرا قبل از صدور گواهی، مرجع صادرکننده‌ی گواهی باید هویت (identity) و وجود قانونیِ (legal existence) نهاد درخواست‌کننده را بررسی کند.

این حرکت بلافاصله بعد از اینکه Ryan Sleevi، مهندس نرم‌افزار تیم گوگل کروم، اطلاعیه‌ی زیر را در یک forum آنلاین منتشر کرد، انجام شد. اطلاعیه از این قرار بود:

« این  بار نیز ، شاهد یک سری از نقص هایی همراه بود که ذیل مجموعه‌ی گواهی‌های اشتباه صادر شده‌ی قبلی از طرف Symantec هستیم، که باعث شده است دیگر هیچ اعتمادی به سیاست‌های صدور این گواهی و اقدامات Symantec در طی چند سال گذشته نداشته باشیم.»

یکی از مهم‌ترین بخش‌های اکوسیستمِ SSL، اعتماد است. اما اگر CAها قبل از صدور گواهی  EV برای domainها به درستی هویت و وجود قانونی را بررسی نکنند، اعتبار آن گواهی‌ها به خطر می‌افتد.

تیم گوگل کروم تحقیقات خود را از ۱۹ ژانویه آغاز کرد و دریافت که سیاست‌های صدور گواهی و اقدامات  Symantec از چند سال گذشته غیرقابل اعتماد است و می‌تواند یکپارچگی  سیستم TLSای که برای احراز هویت ، امن نگه داشتن داده‌ها و اتصالات به اینترنت استفاده می‌شود را تهدید کند.

تحت این حرکت، تیم گوگل کروم مراحل زیر را به عنوان مجازات پیشنهاد کرده است:

۱ – گواهی‌های EV صادرشده توسط Symantec تا امروز، به گواهی‌های دامنه معتبرِ کمتر امن (less-secure domain-validated certs) تنزل رتبه می‌یابند. یعنی مرورگر کروم بلافاصله نمایش نام دارنده‌ی دامنه‌ی معتبر (validated domain) در نوار آدرس را برای مدت حداقل یک سال متوقف می‌کند.

۲ – برای محدود کردن ریسک هرگونه صدور اشتباهِ بیشتر، کلیه‌ی گواهی‌هایی که تازه صادر شده‌اند برای اینکه بتوانند مورد اعتماد گوگل کروم قرار بگیرند، نباید دوره‌ی اعتباری بیش از ۹ ماه داشته باشند. (از نسخه‌ی ۶۱ کروم این ویژگی فعال خواهد شد.)

۳ – گوگل یک بی‌اعتمادی افزایشی را پیشنهاد کرده: کاهش تدریجی «حداکثر عمر» گواهی‌های Symantec در دوره‌ی انتشار نسخه‌های متفاوت کروم، که آن‌ها را ملزم می‌کند تا گواهی‌ها را دوباره صادر و دوباره تایید کنند.

کروم ۵۹ (Dev, Beta, Stable): اعتبار ۳۳ ماهه (۱۰۲۳ روزه)

کروم ۶۰ (Dev, Beta, Stable): اعتبار ۲۷ ماهه (۸۳۷ روزه)

کروم ۶۱ (Dev, Beta, Stable): اعتبار ۲۱ ماهه (۶۵۱ روزه)

کروم ۶۲ (Dev, Beta, Stable): اعتبار ۱۵ ماهه (۴۶۵ روزه)

کروم ۶۳ (Dev, Beta): اعتبار ۹ ماهه (۲۷۹ روزه)

کروم ۶۳ (Stable): اعتبار ۱۵ ماهه (۴۶۵ روزه)

کروم ۶۴ (Dev, Beta, Stable): اعتبار ۹ ماهه (۲۷۹ روزه)

این یعنی، بعد از انتشار کروم ۶۴، که انتظار می‌رود در اوایل سال ۲۰۱۸ اتفاق بیفتد، مرورگر کروم تنها به گواهی‌های Symantecای اعتماد خواهد کرد که برای ۹ ماه (۲۷۹ روز) یا کمتر صادر شده‌اند.

گوگل معتقد است که این حرکت تضمین می‌کند که توسعه‌دهندگان وب نسبت به ریسک بی‌اعتمادی آینده به گواهی‌های صادرشده توسط Symantec آگاه هستند .

پاسخ Symantec – ادعاهای گوگل «اغراق‌آمیز و گمراه‌کننده» است.

Symantec پاسخ داده و اظهار داشته است که ادعای گوگل مبنی بر صدور اشتباه ۳۰۰۰۰ گواهی SSl «اغراق‌آمیز و گمراه‌کننده» است.

«ما به شدت نسبت به اقدامی که گوگل برای هدف قرار دادن گواهی‌های SSL/TLS، Symantec انجام داده است اعتراض داریم. این اقدام غیرمنتظره بود، و ما معتقدیم که آن پستِ وبلاگ غیرمسئولانه بود.»

«در حالی که همه‌ی CAهای اصلی وقایع صدور اشتباهی گواهی SSL/TLS را تجربه کرده‌اند، گوگل تنها از گواهی مجاز  Symantec  در پروپوزال  خود نام برده با اینکه واقعه‌ی صدور اشتباه گواهی‌ها که توسط پست وبلاگی گوگل شناسایی شده شامل چندین CA می‌شود.»