Pålitliga certifikat är en av grunderna för ett säkert internet. Genom ett system av loggar, övervakningsverktyg och granskare håller Google Certificate Transparancy koll på vilka utfärdare som håller rätt säkerhetsnivå. Och vilka som istället för att skydda internetanvändare öppnar för angrepp och spionage.

Att ett av världens största säkerhetsföretag skulle fastna i deras nät hade nog få räknat med. Men det var precis vad som hände. Symantec är inte att lita på, konstaterar Google, och klarar inte kraven för att hamna på webbläsaren Chromes vita lista. De är kort och gott för slarviga. Upprepade fall av slarv som utgör en allt för stor risk för internetanvändarna gör att Chrome inte längre litar på certifikat utfärdade av företage, skriver Ars Technica. 

Läs också: Googles miss: nya iot-operativet funkar inte på Raspberry Pi

Vad det handlar om är certifikat som används för https-sidor och mjukvara för att styrka att sidan är äkta genom att visa det validerade domännamnet, så kallad extended validation. Chrome kommer inte längre erkänna certifikatens status och informationen kommer inte vissas i adressfönstret under minst ett års tid. Den omedelbara konsekvensen blir att Symantecs certifikat nedgraderas till en längre säkerhetsnivå, domän-validerade certifikat.

Gradvis kommer Google uppdatera Chrome för att allt eftersom ogiltigförklara alla giltiga certifikat som skickats ut från utfärdare ägda av säkerhetsföretaget. Och det är inte en liten skara certifikat. Det handlar om mer än 30 procent av alla internets godkända certifikat under 2015. För miljontals Chromeanvändare innebär detta att de inte längre har tillgång till ett stort antal sidor på internet. För att inte utgöra ett allt för stort störningsmoment kommer Chrome dra ut på processen så certifikaten kan ersättas. De får en längre hållbarhetstid på upp till 33 månader. I kommande uppdateringar går den tiden ner till nio månader.

Läs också: Google har börjat bygga om webben från grunden – i tysthet

Google har varit kritiska till Symantecs utfärdare en längre tid. I oktober 2015 fick ett okänt antal utvecklare lämna företaget efter att de utfärdat testcertifikat till tredje part utan domänägarens tillstånd, däribland google.com. I januari visade det sig att Symantec felaktigt utfärdat 108 certifikat. En rapport från Google visar att de felaktiga certifikaten under de senaste åren uppgår till 30 000. Något som skulle kunna utgöra en stor risk för stora delar av världens internetanvändare.