เมื่อเดือนกันยายนที่ผ่านมาไซแมนเทคออกใบรับรองให้กับโดเมน Google.com โดยไม่ได้รับอนุญาต แม้จะระบุว่าเป็นการทดสอบระบบและไล่พนักงานที่เกี่ยวข้องออกไปแล้ว แต่การออกใบรับรองเช่นนี้ผิดไปจากข้อตกลงการรักษาความปลอดภัยของหน่วยงานรับรอง (Certification Authority - CA) และวันนี้ทางกูเกิลก็ประกาศมาตรการเพิ่มข้อจำกัดของไซแมนเทคในการออกใบรับรองในอนาคต

ไซแมนเทครายงานการตรวจสอบภายใน พบว่ามีใบรับรองที่ออกโดยไม่ได้รับอนุญาตอีก 164 ใบ และมีอีก 2,458 ใบที่รับรองโดเมนที่ไม่เคยมีการจดทะเบียนจริง

กูเกิลประกาศมาตรการเป็นการลงโทษไซแมนเทคว่าหลังจากวันที่ 1 มิถุนายน 2016 ใบรับรองทุกใบที่ออกโดยไซแมนเทคจะต้องผ่านกระบวนการเปิดเผยข้อมูล (Certificate Transparency - CT) หากใบรับรองใหม่ไม่ผ่านกระบวนการนี้อาจจะมีปัญหากับสินค้าของกูเกิล

นอกจากมาตรการที่จะมีผลกระทบไปถึงลูกค้าของไซแมนเทคแล้ว ทางกูเกิลยังขอให้ไซแมนเทคส่งรายงานวิเคราะห์หาสาเหตุว่าทำไมจึงมีการออกใบรับรองเหล่านี้ออกมาได้ พร้อมรายงานความผิดพลาดอย่างละเอียดว่ามีความผิดพลาดที่จุดใดบ้าง นอกจากนี้ยังขอให้ไซแมนเทคดำเนินการตรวจสอบโดยผู้ตรวจสอบภายนอกยืนยันว่าพนักงานของไซแมนเทคเข้าถึงกุญแจลับไม่ได้อีก และกระบวนการป้องกันและตรวจสอบย้อนกลับเป็นไปตามมาตรฐาน

มาตรการเหล่านี้คล้ายกับมาตรการที่กูเกิลประกาศกับ CNNIC ที่ออกใบรับรองผิดพลาดเช่นเดียวกัน

ที่มา - Google Online Security, ArsTechnica