Toľko nepresností ako v samotnej správičke, tak aj v komentároch pod ňou, že to radšej zhrniem do jedného príspevku, ako by som mal odpovedať jednotlivo. Mimochodom, o strate dôvery Google v certifikáty Symantecu som písal v správičke pred týždňom a čosi, kedy bolo jasné, že ide o dosť veľkú vec.
V prvom rade, obvinenie zo strany Google je postavené na prostých faktoch, zatiaľ čo Symantec celú situáciu neuveriteľne zľahčuje. Problémy Symantecu sú dlhodobé a v ich biznise, kde ide predovšetkým o dôveru v CA, dosť ťažko ospravedlniteľné. Google proti nim vystúpil síce ako prvý, ale je dosť možné, že onedlho už nebude sám. Mozilla, aj keď sa zatiaľ jednoznačne nevyjadrila, už doplnila do svojej wiki zoznam pochybení zo strany Symantecu, ktorý je tiež len zoznamom prostých faktov. Tento zoznam sa môže veľmi ľahko stať oficiálnym zdôvodnením Mozilly k tomu, že sa pripojí k postoju Google.
Kroky, ktoré Google navrhol, sú dosť mierne práve preto, že certifikáty Symantecu majú cca 30% podiel. Takže ich certifikáty neprestanú platiť zo dňa na deň, ako by k tomu došlo pri menej významnej CA, ale sa bude postupne skracovať ich platnosť. Píšeš o konkrétnom zákazníkovi, ktorému prestal platiť v Chrome certifikát - vieš dať aj odkaz na konkrétnu stránku, alebo aspoň informácie o certifikáte? Zatiaľ som o zneplatňovaní certifikátov čítal iba ako o návrhu, takže by ma zaujímalo, či k nemu už aj naozaj pristúpili. Ak áno, tak od dnes by mala byť skrátená platnosť certifikátov na 33 mesiacov, čo by znamenalo, že tvoj zákazník mal kúpený trojročný certifikát, ktorý by mu do troch mesiacov aj tak vypršal.
Zákazníci Symantecu, ktorí v tomto veria viacej Symantecu ako Googlu, sú buď neinformovaní alebo blázni alebo oboje naraz. Jednoduché "riešenie" s hláškou o nepodporovanom prehliadači nebude fungovať, pretože návštevníci stránok sa kvôli neplatnému certifikátu k tej hláške ani nedostanú. Obava z toho, že by certifikáty týmto krokom zo strany Googlu strácali na svojej hodnote, je dosť krátkozraká. Ono by to bolo totiž naopak - pokiaľ by sa certifikáty vydávali tak nedbalo, ako to robil Symantec, tak by certifikáty prakticky stratili svoj význam.
Ďalšie obvinenia z nekalej súťaže, že Google si chce získať zákazníkov pre svoju CA, padajú na tom, že Google svoje certifikáty nepredáva verejne, aspoň zatiaľ. Okrem toho sú spolu s Mozillou veľkým sponzorom Let's Encrypt, ktorý umožňuje získať DV certifikáty zadarmo.
No a perlička na záver: API, ktoré poskytuje Symantec pre vydávanie certifikátov, má údajne také nedostatky, ktoré môžu viesť až k zverejneniu privátnych kľúčov. Preto milé deti, keď si generujete žiadosť o certifikát (CSR), tak neposielajte svoje privátne kľúče certifikačnej autorite, aj keď vám poskytnú tool, ktorý to všetko spraví za vás.