No dia 18 de Setembro, a Google reportou a emissão de um certificado digital EV (Extended Validation) não pedido e não autorizado para os domínios google.com e www.google.com, pela Entidade de Certificação Thawte da Symantec.

No dia 2 de Outubro, após auditoria interna, a Symantec publicou um relatório relativo a este incidente, no qual indica que:

• o incidente esteve delimitado à emissão de certificados de teste, que estiveram sempre sob o controlo da Symantec e nunca causaram qualquer ameaça a utilizadores ou organizações;
• desde 1995 a Symantec emitiu 100.000 certificados de teste;
• foram, inadequadamente, emitidos vinte e três certificados de teste para vários domínios de cinco organizações (Google, Opera e outras três organizações), para efeitos de teste de funcionalidades pela equipa interna de Qualidade;
• as chaves privadas associadas aos certificados de teste foram destruídas pelas ferramentas de teste, como parte do procedimento de teste;
• foram identificadas as causas da emissão inadequada dos certificados e a causa principal foi sempre a violação, por colaboradores internos, das políticas e procedimentos estabelecidos para a emissão de certificados de teste. Estes colaboradores foram despedidos, de acordo com um post no blog oficial da Symantec:

  In addition, we discovered that a few outstanding employees, who had successfully undergone our stringent on-boarding and security trainings, failed to follow our policies. Despite their best intentions, this failure to follow policies has led to their termination after a thoughtful review process. Because you rely on us to protect the digital world, we hold ourselves to a “no compromise” bar for such breaches. As a result, it was the only call we could make.

• foram implementadas mudanças nas ferramentas, processos e pessoal para prevenir a ocorrência futura de incidentes similares.

Uma situação destas, embora circunscrita a certificados de teste, é sempre muito problemática para qualquer Entidade de Certificação, já que a confiança é o seu activo principal. Mais grave ainda porque:

• a Symantec é proprietária de várias Entidades de Certificação a nível mundial (Verisign, Thawte, GeoTrust, RapidSSL, Equifax), detendo 29,9% do mercado global de certificados digitais de sites Web, de acordo com a W3Techs. Ou seja, todas estas Entidades de Certificação poderão ter emitido certificados não autorizados (e mais abaixo veremos que o fizeram);
• o problema foi detectado para um certificado digital EV, isto é, para o tipo de certificado digital que mais validações tem no que se refere ao pedido e à autorização de emissão.

Também parece excessiva a emissão de 100.000 certificados de teste ao longo de um período de 20 anos. Em média são emitidos mais de 13 certificados de teste por dia! Admito que a maior parte desses certificados tenham sido emitidos por ferramentas de monitorização que verificam o funcionamento de toda a infra-estrutura da Symantec, mas a Symantec deveria tê-lo referido no relatório assim como avançado alguma informação de análise de risco.

A Symantec tomou a decisão de despedir os colaboradores que violaram as políticas e procedimentos de emissão de certificados de teste e dificilmente poderia tomar outra decisão. Contudo,

• é difícil crer que não fosse de conhecimento alargado na organização (ou pelo menos nas Entidades de Certificação) que eram emitidos certificados de teste para domínios tão conhecidos como os da Google e do Opera;
• se uma organização que detém 29,9% do mercado de certificados digitais para sites Web não consegue auditar as suas regras internas de emissão de certificados, qual é a confiança que o público pode ter no cumprimento das regras por entidades de certificação mais pequenas?

Este tipo de incidentes reabre sempre a discussão sobre qual a confiança que podemos ter em que os certificados emitidos para um domínio estão a ser utilizados pela organização que é titular do domínio. Esta discussão entronca numa discussão mais vasta sobre o grau de confiança que podemos ter nas Entidades de Certificação e na garantia de que cumprem os processos e procedimentos internos de autenticação da titularidade dos domínios para os quais são emitidos certificado digitais.

No dia 12 de Outubro, após ter sido interpelada por várias entidades (entre as quais, a Google), a Symantec reviu o seu relatório de auditoria interna, revelando:

• mais 164 certificados de teste emitidos de forma inadequada, para domínios de 76 organizações,
• mais 2.458 certificados emitidos para domínios não registados, à data de emissão,
• novas alterações às políticas de emissão de certificados de teste, de modo a não poderem ser emitidos para domínios não registados,
• lista dos certificados emitidos de forma inadequada e para domínios não registados (emitidos por várias Entidades de Certificação da Verisign, Thawte, GeoTrust, Symantec, RapidSSL, Equifax), de forma a poderem ser colocados na lista negra dos browsers.

Pior do que emitir certificados de teste não pedidos e não autorizados, é fazer adendas ao relatório de auditoria interna porque entidades externas encontraram certificados que não tinham sido contabilizados pela Symantec …

No dia 28 de Outubro, a Google, através do seu blog oficial, emite um comentário muito duro e coloca várias exigências para que os certificados da Symantec continuem a ser utilizados nos seus produtos:

It’s obviously concerning that a CA would have such a long-running issue and that they would be unable to assess its scope after being alerted to it and conducting an audit.

• a partir de 1/Junho/2016 todos os certificados emitidos pela Symantec têm que seguir a política Certificate Transparency. Os certificados da Symantec que não seguirem essa política poderão vir a ter problemas quando usados em produtos da Google;
• no imediato, é pedido à Symantec para actualizar o relatório com mais detalhes e indicar o conjunto de medidas que tomou para corrigir e prevenir cada tipo de falhas identificadas;
• de seguida, após a implementação desse conjunto de medidas, esperam que a Symantec se submeta a um “Point-in-time Readiness Assessment” (que estabeleça a conformidade com os standards WebTrust Principles and Criteria for Certification Authorities,_ WebTrust Principles and Criteria for Certification Authorities – SSL Baseline with Network Security_ e _WebTrust Principles and Criteria for Certification Authorities – Extended Validation SSL_) e a uma auditoria de segurança efectuada por uma terceira parte (que garanta a veracidade das afirmações da Symantec relativamente a que as chaves privadas nunca foram expostas em claro pelas ferramentas de teste e, que os colaboradores da Symantec nunca puderam utilizar essas ferramentas para obter certificados para os quais o colaborador controlava a chave privada, assim como garanta que os mecanismos de log de auditoria estão razoavelmente protegidos contra modificação, remoção ou adulteração).

Com esta tomada de posição bastante dura, a Google está claramente a lançar um aviso às Entidades de Certificação e a indicar que não vai tolerar, nos seus produtos, certificados emitidos por Entidades de Certificação cujos procedimentos e práticas de emissão de certificados sejam duvidosos. Com esta tomada de posição, no imediato, a Google ajuda a credibilizar o negócio das Entidades de Certificação, ao mesmo tempo que impõe novas medidas (política de Certificate Transparency) que permite às empresas e organizações verificar se estão a ser emitidos certificados não pedidos e/ou não autorizados dos seus domínios.

No dia 29 de Outubro, a Symantec reviu novamente o seu relatório de auditoria interna, indicando que colocou, na lista dos certificados emitidos de forma inadequada e para domínios não registados, certificados emitidos com autorização do titular do domínio. Tendo em conta que essa lista tinha sido fornecida para esses certificados poderem ser colocados na lista negra dos browsers, esta revelação é surpreendente e fala por si …