ความขัดแย้งระหว่างผู้ผลิตเบราว์เซอร์หลักสองรายคือกูเกิลและมอซิลล่า (ผู้สร้างไฟร์ฟอกซ์) กับธุรกิจออกใบรับรองดิจิตอลของไซแมนเทคยังไม่จบและความขัดแย้งยังดูไม่มีทีท่าว่าจะหาทางออกที่พอใจทั้งสองฝ่ายได้ หลังจากที่กูเกิลเสนอให้บีบอายุใบรับรองของไซแมนเทคเหลือเพียง 9 เดือน ล่าสุดกูเกิลก็ส่งตัวแทนไปเจรจากับไซแมคเทคอีกครั้ง และได้ข้อเสนอใหม่ออกมา

ข้อเสนอใหม่ของกูเกิลระบุให้ไซแมนเทคสร้าง sub-CA ขึ้นใหม่พร้อมกับ cross-sign กับ root CA ของไซแมนเทคเอง แต่ sub-CA นี้จะต้องดำเนินการจากผู้ให้บริการอื่นที่ได้รับความเชื่อถือ ขณะที่ตัวไซแมนเทคเองจะกลายเป็นเพียงฝ่ายขายที่ทำหน้าที่ขายใบรับรองอย่างเดียว ส่วนลูกค้าจะยังคงเห็นใบรับรองว่ามาจากไซแมนเทคอยู่

การเจรจาระหว่างกูเกิลและไซแมนเทคเป็นการเจรจาภายใน ไซแมนเทคได้เปิดเผยข้อมูลแผนการปรับปรุงระบบของตัวเองที่ยังไม่เปิดเผยต่อสาธารณะ ข้อเสนอของกูเกิลอ้างถึงการปรับปรุงนั้นว่าหลังจากทำเรียบร้อยแล้วไซแมนเทคจะสามารถดึงการดำเนินการ CA กลับมาจากผู้ให้บริการอื่นมาให้บริการต่อเอง

กูเกิลระบุว่าหากไซแมนเทคดำเนินการตามนี้ก็จะมีแนวทางการแก้ไขให้ลูกค้าเดิม โดยไม่ต้องติดข้อกำหนดอายุใบรับรอง 9 เดือนหรือถูกถอดสิทธิ์การแสดง EV แต่อย่างใด

Gervase Markham นักพัฒนาจากมอซิลล่าออกมาแสดงความเห็นด้วยกับแนวทางของกูเกิลโดยรวม โดยระบุว่าหากไซแมนเทคไม่ทำตามข้อเสนอของกูเกิลไฟร์ฟอกซ์จะจำกัดอายุใบรับรองจากไซแมนเทคเหลือ 13 เดือน ทั้งใบรับรองเดิมและใบรับรองใหม่ แต่เขาไม่เห็นด้วยที่จะถอดสิทธิ์การออกใบรับรอง EV เพราะเป็นส่วนที่ไม่ได้รับผลกระทบจากความผิดพลาด

ด้านไซแมนเทคออกมาตอบข้อเสนอของทั้งสองหน่วยงาน ระบุว่าบริษัทได้เสนอแนวทางการปรับปรุงไปแล้ว โดยจะมีการตรวจสอบจากภายนอกใหม่ แม้ทั้งการปรับปรุงระบบและตรวจสอบใบรับรองที่ออกไปแล้วทั้งหมด ตอนนี้กระบวนการตรวจสอบใบรับรองโดย Registration Authority (RA - หน่วยงานภายนอกที่ออกใบรับรองด้วยระบบของไซแมนเทค) ดำเนินการไปแล้วระหว่าง 85-99% โดยพบความผิดพลาดตั้งแต่ 0.3-5% บางกรณีเป็นความผิดพลาดเล็กน้อยเช่นการเรียกชื่อเมืองผิด

ตัวเลขล่าสุดของไซแมนเทคแสดงให้เห็นว่ามีใบรับรองที่ออกโดย RA มากกว่า 30,000 ใบตรงกับที่กูเกิลระบุในรายงานครั้งแรก และตอนนี้พบใบรับรองผิดพลาดแล้วมากกว่า 500 ใบซึ่งมากกว่ารายงานจากไซแมนเทคซึ่งระบุว่ามีเพียง 127 ใบถึงสี่เท่าตัว และการตรวจสอบยังไม่เสร็จสิ้น

ที่มา - Mozilla Proposal, mozilla.dev.security.policy, Symantec Blog