เมื่อเดือนมกราคมที่ผ่านมามีรายงาน ใบรับรองจาก Symantec ที่ออกโดยไม่ได้รับอนุญาตรวม 108 ใบ ล่าสุดกูเกิลออกมารายงานว่าการสอบสวนขยายผลไปจนพบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอย่างน้อย 30,000 ใบ และตอนนี้กูเกิลเตรียมประกาศบทลงโทษด้วยการบีบอายุใบรับรองจาก Symantec ซึ่งรวมถึง GeoTrust และ Thawe ทั้งหมดเหลือไม่เกิน 9 เดือน (279 วัน)
กูเกิลระบุว่าปกติแล้วหน่วยงานออกใบรับรองต้องปกป้องโครงสร้างพื้นฐานของตนเองเป็นอย่างดี แต่ Symantec กลับปล่อยให้มีหน่วยงานอย่างน้อยสี่หน่วยงานเข้าไปยุ่งกับระบบออกใบรับรองของตัวเอง และไม่สามารถออกมาชี้แจงปัญหาได้อย่างรวดเร็ว และเปิดเผยให้คนภายนอกรู้เมื่อพบปัญหา
กูเกิลระบุมาตรการหลังจากนี้ 3 ประการ ได้แก่
- ลดอายุใบรับรองที่ออกใหม่จาก Symantec ทั้งหมดลงเหลือ 9 เดือน
- บีบอายุใบรับรองที่ออกไปแล้วลงอย่างช้าๆ จนเหลือ 9 เดือนใน Chrome 64
- ไม่แสดงแถบเขียว EV จากใบรับรองของ Symantec อีกต่อไป
สำหรับใบรับรองที่ออกไปแล้ว มาตรการในข้อ 2 จะค่อยๆ บีบจาก Chrome 59 จะลดอายุใบรับรองที่ยังเชื่อถือเหลือ 33 เดือน (1023 วัน), Chrome 60 เหลือ 27 เดือน (837 วัน), Chrome 61 เหลือ 21 เดือน (651 วัน), Chrome 62-63 เหลือ 15 เดือน (465 วัน), และ Chrome 64 เหลือ 9 เดือน (279 วัน) ตามกำหนดการ Chrome 64 จะออกช่วงเดือนมกราคม 2018
กูเกิลเตือนผู้ดูแลเว็บว่าสามารถใช้งานใบรับรองจาก Symantec ต่อไปได้แต่ให้ระวังอายุใบรับรองที่สั้นลง
ที่มา - blink-dev
Hiring! บริษัทที่น่าสนใจ