Сертификат был выпущен 14 сентября примерно в 19:20 (GMT) удостоверяющим центром Thawte (принадлежит компании Symantec) без разрешения или запроса со стороны Google. Причем не простой сертификат, а Extended Validation (EV). Таким образом, это первый зафиксированный случай нелегального выпуска EV сертификата.
Выпуск сертификата, по заверению Symantec, произошел в результате внутреннего тестирования. Срок действия выпущенного сертификата 1 день. Тем не менее, Google уже включил его в список отозванных для своего браузера Chrome. К тому же Google не видит причин полагать, что пользователи подверглись риску в результате этого инцидента.
Примечательно также, что сертификат был обнаружен при помощи относительно нового механизма — Certificate Transparency. Эта технология была специально разработана для того, чтобы любой владелец домена мог узнать, какие сертификаты выпущены для его домена и, соответственно, обнаружить мошеннические. Благодаря Certificate Transparency информация обо всех выпущенных удостоверяющим центром сертификатах попадает в открытый лог. Производя мониторинг этого лога, можно обнаружить выпущенные для вашего домена сертификаты.
Описанный случай — первое обнаружение неавторизованного выпуска сертификата при помощи Certificate Transparency.
UPD1. Комментарий Symantec ().
Мы узнали в среду, что небольшое количество тестовых сертификатов было некорректно выпущено для внутреннего пользования во время тестирования.
Все из этих тестовых сертификатов и ключей были все время под нашим контролем и были незамедлительно отозваны, когда мы узнали о проблеме. Не было никакого воздействия на какие-либо домены и никакой опасности для сети Интернет.
UPD2. В том же комментарии Symantec указано, что сотрудники, нарушившие политики и допустившие данный инцидент были уволены.