Symantec maakt ongevraagd SSL-certificaten aan voor Google.com

  1. 21 sep 2015
  2. 0 reacties

IT_beveiliging_iStock_000031294146Large

Symantec blijkt ongevraagd twee SSL-certificaten te hebben aangemaakt voor google.com en www.google.com. Symantec stelt dat de certificaten zijn aangemaakt als onderdeel van een testprocedure. De betrokken medewerkers zijn ontslagen.

Dit meldt Google in een blogpost. Het bedrijf is de certificaten op het spoor gekomen via Certificate Transparency logbestanden, waarin nauwlettend wordt bijgehouden welke certificaten door Certificate Authority’s worden afgegeven. Uit deze bestanden bleek dat er twee SSL-certificaten waren afgegeven voor het domein van Google, zonder dat het bedrijf hier zelf om had geraagd.

Google heeft contact opgenomen met Symantec, die de certificaten direct heeft verwijderd. Daarnaast heeft Google de twee certificaten direct onbruikbaar gemaakt in Google Chrome. Symantec neemt de zaak hoog op en heeft de drie werknemers die betrokken waren bij het aanmaken van de certificaten op staande voet ontslagen.

Lees ook
Let’s Encrypt verstrekt 1 miljoen gratis SSL-certificaten

Let’s Encrypt verstrekt 1 miljoen gratis SSL-certificaten

Let’s Encrypt heeft ruim 1 miljoen gratis SSL-certificaten verstrekt. Het project stelt zichzelf als doel het volledige internet over te laten stappen op SSL. Dit meldt de Electronic Frontier Foundation (EFF), een organisatie die opkomt voor digitale burgerrechten. De EFF is één van de partijen die Let’s Encrypt steunt. De 1 miljoen verstrekte cer1

Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

Autoriteit Persoonsgegevens waarschuwt dat gebruikt van SSLv2 mogelijk in strijd is met Wet bescherming persoonsgegevens

In het protocol SSLv2 is vorige week het “DROWN” (Decrypting RSA with Obsolete and Weakened eNcryption) lek aangetroffen, dat aanvallers de mogelijkheid geeft versleutelde verbindingen kunnen kraken. Bedrijven die ondanks dit lek gebruik blijven maken van SSLv2 overtreden hiermee mogelijk de Wet bescherming persoonsgegevens (Wbp). Dit stelt de Aut1

Teveel organisaties vertrouwen blindelings op SSL/TLS-certificaten en sleutels

Teveel organisaties vertrouwen blindelings op SSL/TLS-certificaten en sleutels

Heartbleed, LogJam, FREAK, Superfish en nu ook DROWN laten zien dat teveel mensen en organisaties blindelings vertrouwen op SSL/TLS-certificaten en sleutels. Volgens security-experts zijn maar liefst 33% van alle webservers via de DROWN-kwetsbaarheid aan te vallen. Kevin Bocek, Vice President Security Strategy & Threat Intelligence van Venafi,1