Cuộc tranh cãi nảy lửa của Google và Symantec về bảo mật trên internet_bảng xếp hạng nhât anh

Google cách đây ít lâu vừa tố cáo hãng bảo mật Symantec và các đối tác của công ty này đã cho phát hành không đúng chuẩn hàng chục ngàn chứng chỉ cho các kết nối web được mã hoá. Hãng tìm kiếm cũng âm thầm công bố hôm thứ Ba vừa qua rằng trình duyệt Chrome sẽ hạ mức độ tin cậy đối với các chứng chỉ do Symantec phát hành. 

Các kết nối web được mã hoá - kết nối HTTPS mà các trang web của ngân hàng,ộctranhcãinảylửacủaGooglevàSymantecvềbảomậttrêbảng xếp hạng nhât anh trang yêu cầu đăng nhập tài khoản, hay trang tin tức - được kích hoạt bởi các nhà cung cấp chứng thực số (Certificate Authority - CA). Cơ quan này có chức năng xác định danh tính của chủ website và phát hành cho họ một chứng chỉ xác thực rằng, người này chính là chủ trang chứ không phải ai khác. Bạn có thể hình dung Certificate Authority giống như một cơ quan cấp hộ chiếu và chứng chỉ họ phát hành giống như quyển hộ chiếu. Nếu không có chứng chỉ của cơ quan chứng thực, người dùng không thể tin tưởng được rằng website ở đầu kia của kết nối HTTPS thuộc sở hữu của ngân hàng mà mình đang sử dụng. 

Symantec là một gã khổng lồ trong lĩnh vực cung cấp chứng thực số - các chứng thực của hãng này giúp xác minh cho khoảng 30% website trên thế giới trong 2015. Tuy nhiên, Google tố cáo rằng Symantec đã không có trách nhiệm một cách nghiêm túc và phát hành ít nhất 30.000 chứng chỉ mà không xác minh kỹ website nhận được các chứng chỉ này. Đây là một cáo buộc có thể làm suy giảm nghiêm trọng niềm tin của người dùng vào các trang web tưởng chừng như đã an toàn. Google nói rằng hãng sẽ bắt đầu tiến hành đánh giá thấp các chứng chỉ của Symantec trong trình duyệt Chrome của mình. Symantec, trong khi đó, cũng phản ứng lại gay gắt, nói rằng các cáo buộc của Google là "vô trách nhiêm" và "phóng đại, gây hiểu nhầm".

"Kể từ ngày 19/1, đội phát triển Google Chrome đã điều tra một loạt các lỗi trong quá trình Symantec phê chuẩn tính hợp lệ của các chứng chỉ. Trong quá trình điều tra, các giải thích mà Symantec đưa ra lại càng cho thấy rất nhiều lỗi khác của công ty này. Ban đầu, lỗi chỉ được tìm thấy ở 127 chứng chỉ nhưng về sau con số đã lên tới ít nhất 30.000, được phát hành trong vòng nhiều năm qua" - kỹ sư phần mềm Google Ryan Sleevi cho biết trong một bài đăng trên diễn đàn của Google. "Trước đó, Symantec cũng đã nhiều lần phát hành chứng chỉ không đúng theo quy chuẩn, và điều đó khiến chúng tôi không còn tin tưởng vào các chính sách và cách thức phát hành của Symantec trong những năm qua". 

Để khắc phục tình hình, Sleevi nói rằng, theo thời gian, Google sẽ yêu cầu các website thay thế chứng chỉ cũ của Symantec bằng các chứng chỉ mới, đáng tin cậy hơn. Sleevi cho rằng cách làm của Symantec đã không đáp ứng được yêu cầu cơ bản của một nhà cung cấp xác thực số, gây "nguy hiểm đáng kể cho người dùng Google Chrome".

Đại diện Google cho hay: "Symantec cho phép ít nhất 4 công ty ngoài truy cập cơ sở hạ tầng của mình, theo cách giúp các chứng chỉ số được phát hành ra. Tuy nhiên, đối tác của hãng không đủ khả năng giám sát chứng chỉ theo như các yêu cầu. Và khi bị trưng ra bằng chứng nhằm chứng minh điều này, đối tác của Symantec đã không thừa nhận những yếu kém kịp thời cũng như không xác định tầm quan trọng của vấn đề mà chúng tôi phản ánh lên. Các sai phạm của Symantec đã kéo dài trong nhiều năm, và có thể được phát hiện thông qua thông tin mà hãng này chia sẻ công khai". 

Tranh cãi giữa Google và Symantec đã từng nổ ra từ cách đây hơn một năm. Hồi tháng 10/2015, Google phát hiện ra rằng Symantec phát hành sai các chứng chỉ cho chính bản thân Google và cho Opera Software. Hãng bảo mật sau đó tiến hành điều tra và cho biết, các chứng chỉ này đã được phát hành dưới dạng một phần của thử nghiệm định kỳ. "Cuộc điều tra của chúng tôi không tìm ra bằng chứng cho thấy có nội dung độc hại nào bị cài cắm và các chứng chỉ không gây hại cho bất kỳ ai", Symantec cho biết. 

很赞哦!（94382）