Campania începută de Google pentru mutarea tuturor site-urilor web pe conexiuni securizate ar putea lua o turnură ciudată, după ce compania americană va înceta să mai recunoască certificatele de securitate emise de o anume autoritate, în urma unor incidente de securitate care au pus la îndoială protecţia oferită de acestea.
Conexiunile HTTPS între site-ul pe care îl navighezi şi PC-ul tău sunt validate cu ajutorul unor certificate de securitate, conţinând chei de criptare emise de o autoritate recunoscută. Teoretic, sistemul face aproape imposibilă interceptarea schimburilor de date, chiar şi pentru un hacker care obţine accesul la reţeaua ta Wi-Fi. Problemele apar atunci când emitentul certificatelor de securitate este compromis cu un atac informatic, dacă certificatele respective au fost emise în mod eronat, sau fără ca reputaţia emitentului să fie validată prin verificări temeinice.
În cazul de faţă, o serie de incidente de securitate au pus la îndoială reputaţia certificatelor de securitate emise de Symantec, Google anunţând încă de anul trecut că renunţă la serviciile acestei companii, acuzând emiterea de certificate eronate sau pur şi simplu înşelătoare. Mai târziu, a ieşit la iveală faptul că Symantec a permis unor organizaţii terţe nerecunoscute să emită certificate de securitate pentru semnarea conexiunilor HTTPS, fără ca respectivele entităţi să fi parcurs un proces de verificare temeinic care să le ateste reputaţia.
Fără o garanţie a bunelor practici, Google a decis să respingă cu totul certificatele de securitate emise de Symantec înainte de luna iunie 2016, măsura incluzând şi certificate emise de partenerii Thawte, VeriSign, Equifax, GeoTrust şi RapidSSL.
În ciuda avertismentelor repetate, cel puţin 1139 site-uri cu aflux mare de vizitatori nu şi-au reautorizat conexiunile HTTPS folosind noi certificate de securitate, accesarea acestora urmând să fie oprită cu un mesaj de avertizare afişat pe fundal roşu.