La società di sicurezza Symantec ha annunciato di aver recentemente licenziato un non meglio precisato numero di impiegati, apparentemente colpevoli di aver autorizzato certificati di sicurezza per le comunicazioni cifrate (HTTPS) non richiesti.
I certificati incriminati sarebbero stati autorizzati da Thawte, Certificate Authority (CA) di proprietà di Symantec, e avrebbero in teoria permesso a un malintenzionato di impersonare due domini appartenenti a Google Corp.
Sarebbe stata la stessa Mountain View ad accorgersi dell’esistenza dei certificati non richiesti consultando i log del programma Certificate Transparency, un progetto pensato proprio per prevenire la manomissione dell’infrastruttura di HTTPS monitorando in tempo reale l’emissione dei certificati crittografici.
A questo proposito Symantec sosterrebbe che i certificati sarebbero stati pensati per “test interni” e non avrebbero costituito un potenziale rischio per i servizi di Google. Gli impiegati ritenuti colpevoli di aver autorizzato l’emissione dei certificati, invece, sarebbero stati licenziati.
Via | Ars Technica