다양한 소식통에 따르면 구글과 시만텍은 누가 인터넷을 암호화하는 거대한 작업을 주도할지 놓고 싸우고 있습니다. 시만텍은 특정 도메인 및 해당 사용자에게 사이버 위험 및 보안 위험인 특정 회사에 대해 확장된 유효성 검사 인증서를 제공했습니다. 따라서 Google은 이러한 인증서가 모두 오용되어 신뢰도가 하락한다고 주장합니다.
참고 자료:Google Home – 집안일 및 쇼핑 방식 변경
Symantec은 세계에서 가장 큰 CA이며 2014-2015년에 웹의 약 30%에 해당하는 인증을 받았습니다. Google은 시만텍이 의무를 소홀히 하고 있다고 주장합니다. 시만텍은 인증서를 수집한 웹 사이트에서 제대로 확인하지 않고 30,000개의 인증서를 발급했습니다. 그러나 시만텍은 Google이 "무책임하고"과장되고 오해의 소지가 있다"고 비난했습니다.
“1월 19일부터 Google Chrome 팀은 Symantec Corporation이 인증서를 제대로 검증하지 못한 일련의 실패를 조사했습니다. 이 조사 과정에서 시만텍이 제공한 설명은 Google Chrome 팀 구성원의 각 질문 세트에 대한 잘못된 발행 범위가 지속적으로 증가하고 있음을 밝혔습니다. 보고된 바에 따르면 초기 127개의 인증서 세트가 몇 년에 걸쳐 발행된 최소 30,000개의 인증서를 포함하도록 확장되었습니다.”
또한 읽기:Google Play 스토어 오류 491 및 495 수정 방법
Google 소프트웨어 엔지니어인 Ryan Sleevi는 시만텍에 대한 소송에 대한 게시물을 작성했습니다. 그는 "이것은 이전에 시만텍에서 잘못 발급된 인증서 세트에 따른 일련의 실패와 결합되어 우리가 지난 몇 년 동안 시만텍의 인증서 발급 정책 및 관행에 대해 더 이상 확신을 갖지 못하게 했습니다."라고 말했습니다.
“Symantec은 최소 4명의 당사자가 인증서 발급을 유발하는 방식으로 인프라에 액세스할 수 있도록 허용했으며 이러한 기능을 필요하고 예상한 대로 충분히 감독하지 않았으며 이에 대한 증거를 제시했을 때 조직이 적절한 관리 표준을 준수하지 않고, 그러한 정보를 적시에 공개하지 않거나 보고된 문제의 중요성을 식별하지 못한 것입니다.”
"이러한 문제와 이에 상응하는 적절한 감독 실패는 몇 년 동안 지속되었으며 공개적으로 사용 가능하거나 시만텍이 공유한 정보를 통해 쉽게 식별할 수 있었습니다."
또한 읽기:Google에서 'Android O' 개발자 프리뷰 출시
시만텍이 수행한 작업에 대해 많은 논의가 있었습니다. 시만텍은 인증서를 제공하기 전에 웹 사이트를 제대로 필터링하지 않았습니다. 이는 검증을 받은 대부분의 웹사이트가 사용자에게 안전하지 않을 수 있음을 보여줍니다. Google과 Symantec의 싸움이 계속될 것 같습니다. 따라서 시만텍은 "상황을 해결하기 위해 구글과 이 문제를 논의할 용의가 있다"고 밝혔다. HTTPS 연결을 입증하기 위해 Symantec을 사용하는 웹사이트 소유자는 Chrome 사용자가 보안 경고 및 팝업 없이 웹사이트에 액세스할 수 있는지 확인하기 위해 조치를 취해야 합니다.
Symantec은 인증서가 잘못 발급된 4개의 다른 조직과 연결되어 있으므로 이제부터 Chrome은 새로운 Symantec 인증서를 신뢰할 수 있습니다. 소유자는 이전 문서를 새 문서로 교체하기만 하면 됩니다.