Google tố cáo hãng bảo mật Symantec đã cho phát hành ít nhất hàng chục ngàn chứng chỉ số không đúng quy chuẩn khiến người dùng gặp nguy hiểm; trong khi đó Symantec cũng tố lại Google đã phóng đại bản chất sự việc và gây hiểu nhầm.
Google cách đây ít lâu vừa tố cáo hãng bảo mật Symantec và các đối tác của công ty này đã cho phát hành không đúng chuẩn hàng chục ngàn chứng chỉ cho các kết nối web được mã hoá. Hãng tìm kiếm cũng âm thầm công bố hôm thứ Ba vừa qua rằng trình duyệt Chrome sẽ hạ mức độ tin cậy đối với các chứng chỉ do Symantec phát hành.
Các kết nối web được mã hoá - kết nối HTTPS mà các trang web của ngân hàng, trang yêu cầu đăng nhập tài khoản, hay trang tin tức - được kích hoạt bởi các nhà cung cấp chứng thực số (Certificate Authority - CA). Cơ quan này có chức năng xác định danh tính của chủ website và phát hành cho họ một chứng chỉ xác thực rằng, người này chính là chủ trang chứ không phải ai khác. Bạn có thể hình dung Certificate Authority giống như một cơ quan cấp hộ chiếu và chứng chỉ họ phát hành giống như quyển hộ chiếu. Nếu không có chứng chỉ của cơ quan chứng thực, người dùng không thể tin tưởng được rằng website ở đầu kia của kết nối HTTPS thuộc sở hữu của ngân hàng mà mình đang sử dụng.
Symantec là một gã khổng lồ trong lĩnh vực cung cấp chứng thực số - các chứng thực của hãng này giúp xác minh cho khoảng 30% website trên thế giới trong 2015. Tuy nhiên, Google tố cáo rằng Symantec đã không có trách nhiệm một cách nghiêm túc và phát hành ít nhất 30.000 chứng chỉ mà không xác minh kỹ website nhận được các chứng chỉ này. Đây là một cáo buộc có thể làm suy giảm nghiêm trọng niềm tin của người dùng vào các trang web tưởng chừng như đã an toàn. Google nói rằng hãng sẽ bắt đầu tiến hành đánh giá thấp các chứng chỉ của Symantec trong trình duyệt Chrome của mình. Symantec, trong khi đó, cũng phản ứng lại gay gắt, nói rằng các cáo buộc của Google là "vô trách nhiêm" và "phóng đại, gây hiểu nhầm".
"Kể từ ngày 19/1, đội phát triển Google Chrome đã điều tra một loạt các lỗi trong quá trình Symantec phê chuẩn tính hợp lệ của các chứng chỉ. Trong quá trình điều tra, các giải thích mà Symantec đưa ra lại càng cho thấy rất nhiều lỗi khác của công ty này. Ban đầu, lỗi chỉ được tìm thấy ở 127 chứng chỉ nhưng về sau con số đã lên tới ít nhất 30.000, được phát hành trong vòng nhiều năm qua" - kỹ sư phần mềm Google Ryan Sleevi cho biết trong một bài đăng trên diễn đàn của Google. "Trước đó, Symantec cũng đã nhiều lần phát hành chứng chỉ không đúng theo quy chuẩn, và điều đó khiến chúng tôi không còn tin tưởng vào các chính sách và cách thức phát hành của Symantec trong những năm qua".
Để khắc phục tình hình, Sleevi nói rằng, theo thời gian, Google sẽ yêu cầu các website thay thế chứng chỉ cũ của Symantec bằng các chứng chỉ mới, đáng tin cậy hơn. Sleevi cho rằng cách làm của Symantec đã không đáp ứng được yêu cầu cơ bản của một nhà cung cấp xác thực số, gây "nguy hiểm đáng kể cho người dùng Google Chrome".
Đại diện Google cho hay: "Symantec cho phép ít nhất 4 công ty ngoài truy cập cơ sở hạ tầng của mình, theo cách giúp các chứng chỉ số được phát hành ra. Tuy nhiên, đối tác của hãng không đủ khả năng giám sát chứng chỉ theo như các yêu cầu. Và khi bị trưng ra bằng chứng nhằm chứng minh điều này, đối tác của Symantec đã không thừa nhận những yếu kém kịp thời cũng như không xác định tầm quan trọng của vấn đề mà chúng tôi phản ánh lên. Các sai phạm của Symantec đã kéo dài trong nhiều năm, và có thể được phát hiện thông qua thông tin mà hãng này chia sẻ công khai".
Tranh cãi giữa Google và Symantec đã từng nổ ra từ cách đây hơn một năm. Hồi tháng 10/2015, Google phát hiện ra rằng Symantec phát hành sai các chứng chỉ cho chính bản thân Google và cho Opera Software. Hãng bảo mật sau đó tiến hành điều tra và cho biết, các chứng chỉ này đã được phát hành dưới dạng một phần của thử nghiệm định kỳ. "Cuộc điều tra của chúng tôi không tìm ra bằng chứng cho thấy có nội dung độc hại nào bị cài cắm và các chứng chỉ không gây hại cho bất kỳ ai", Symantec cho biết.
"Các cáo buộc của Google về việc chúng tôi về việc phát hành chứng chỉ không đúng chuẩn là phóng đại và gây hiểu nhầm. Ví dụ như cáo buộc nói rằng chúng tôi phát hành sai 30.000 chứng chỉ SSL/TLS là không đúng. Ở vụ phát hiện 127 chứng chỉ của Google, chúng tôi không phát hiện ra có bất kỳ nguy hiểm nào cho người dùng" - Symantec viết trên blog của hãng. "Dù tất cả các CA lớn đều trải qua sự cố phát hành chứng chỉ SSL/TLS, Google lại chỉ cáo buộc Symantec Certificate Authority, mặc dù các phát hiện của Google liên quan đến nhiều CA khác".
Đại diện Google Sleevi chia sẻ trên một bài đăng khác rằng, Symantec hợp tác với các CA khác - CrossCert (Korea Electronic Certificate Authority), Certisign Certificatadora Digital, Certsuperior S. de R. L. de C.V., and Certisur S.A. - và các CA này không tuân thủ các quy trình xác minh thích hợp dẫn tới việc phát hành sai 30.000 chứng chỉ.
“Symantec đã thừa nhận họ biết về các sai trái này với ít nhất một công ty bên thứ ba, nhưng đã không tiết lộ cho các chương trình gốc, và không cắt đứt liên hệ với CA vi phạm. Ít nhất 30.000 chứng chỉ đã được phát hành bởi các tổ chức này, và không có một cách nào độc lập để đánh giá mức độ tuân thủ các tiêu chuẩn của những tổ chức này. Thêm vào đó, về mặt kỹ thuật chúng ta không thể xác định hay phân biệt được các chứng chỉ này với các chứng chỉ mà Symantec đóng vai trò phê chuẩn", Sleevi cho biết.
Dù 2 bên vẫn còn tranh cãi gay gắt, Symantec nói rằng hãng sẽ "cởi mở để thảo luận vấn đề này với Google trong một nỗ lực giải quyết tình huống". Các chủ website sử dụng Symantec để xác định kết nối HTTPS của họ sẽ cần thực hiện theo các bước để đảm bảo người dùng Chrome có thể truy cập web của mình mà không phải nhận các cảnh báo bảo mật khá khó chịu trên màn hình thiết bị.
Symantec đã ngừng hợp tác với 4 hãng liên quan tới các chứng chỉ được phát hành không đúng chuẩn, do đó, Chrome sẽ tin cậy các chứng chỉ mới của Symantec từ nay về sau, và các chủ site chỉ cần thay chứng chỉ cũ bằng chứng chỉ mới là mọi chuyện được giải quyết ổn thoả.
"Để cân bằng các rủi ro về tính tương thích và rủi ro bảo mật, chúng tôi đề xuất sẽ dần dần dừng tin tưởng (distrust) với tất cả các chứng chỉ hiện do Symantec phát hành, đồng thời yêu cầu công ty - theo thời gian - phải thay thế chúng bằng chứng chỉ mới hợp chuẩn", Sleevi nhấn mạnh.
Về phần mình, Symantec có vẻ như hy vọng rằng Google sẽ từ bỏ và không yêu cầu đưa ra bất kỳ thay đổi nào. "Chúng tôi muốn trấn an khách hàng của mình và tất cả người dùng rằng họ có thể tin tưởng các chứng chỉ Symantec SSL/TLS. Symantec sẽ tiếp tục bảo vệ sự an toàn của internet, giảm thiểu bất kỳ nguy cơ gián đoạn nào bị xảy ra do đề xuất của Google", hãng bảo mật cho hay.
