証明書は、Googleからの許可または要求なしに、Thawte認証局(シマンテックが所有)によって9月14日午後7時20分(GMT)に発行されました。 そして、単なる証明書ではなく、Extended Validation(EV)。 したがって、これはEV証明書の違法な発行の最初の記録事例です。
シマンテックは、内部テストの結果として証明書が発行されたことを保証しました。 発行された証明書の有効期限は1日です。 ただし、Googleは既にChromeブラウザのリコールリストにそれを含めています。 さらに、Googleは、ユーザーがこのインシデントの危険にさらされていると信じる理由はないと考えています。
また、比較的新しいメカニズムである証明書の透明性を使用して証明書が発見されたことも注目に値します。 この技術は、ドメイン所有者が自分のドメインに対して発行された証明書を見つけ、それに応じて不正な証明書を検出できるように特別に設計されています。 証明書の透明性により、認証センターによって発行されたすべての証明書に関する情報がオープンログに含まれます。 このログを監視することにより、ドメインに対して発行された証明書を検出できます。
ここで説明するのは、証明書の透明性を使用した不正な証明書の問題の最初の検出です。
UPD1。 シマンテックのコメント( こちらから )。
水曜日に、テスト中に内部使用のために少数のテスト証明書が誤って発行されたことがわかりました。
これらのテスト証明書とキーはすべて私たちの管理下にあり、問題について知るとすぐに取り消されました。 どのドメインにも影響はなく、インターネットへの危険もありませんでした。
UPD2。 シマンテックの同じコメントは、ポリシーに違反してインシデントを犯した従業員が解雇されたと述べています。