澳门新葡亰553311b > 新葡亰 计算机网络 > 赛门铁克、谷歌“证书大战”僵持,Mozilla 或加入搅局

赛门铁克、谷歌“证书大战”僵持,Mozilla 或加入搅局
2020-01-30 14:08

Google 正在考虑对赛门铁克及其证书经销商多次重复不正确地发出 SSL 证书的事件进行严厉的处罚,拟议的计划是强制该公司更换其所有客户的证书,并停止识别拥有该证书的扩展验证(EV)状态。如果 Google 的计划付诸实施,数百万的现有 Symantec 证书将在未来12个月内在 Google Chrome 中不受信任。

谷歌Chrome工程师 Ryan Sleevi昨日宣布,伴随着赛门铁克最近及以前发布的一系列错误证书,谷歌不再信任赛门铁克过去几年的证书颁发政策,计划逐步降低对其证书的信任,对其新颁发证书的可接受有效期限制在9个月以内,并停止展示其EV SSL证书绿色地址栏等验证状态。

图片 1

背景

SSL / TLS 证书是用于加密浏览器和支持 HTTPS 网站之间的连接,并验证用户是否真正访问他们打算使用的网站,避免欺诈网站。这些证书由被认为是浏览器和操作系统默认信任的证书颁发机构颁发,颁发和管理证书的过程由 CA/Browser Forum(成员包括浏览器供应商和证书颁发机构)创建的规则管理。当这些规则被违背时,浏览器和操作系统供应商可以撤销对违规证书的信任,并对负责的证书颁发机构进行制裁,以便将其从其根证书存储区踢出。

自1月19日开始,Google Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误,这导致谷歌对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。 

Google 认为,对最近发生的事件进行调查发现,赛门铁克并未做好认证机构的安全监督工作,例如验证域控制、审核日志以证明未经授权的发行,去尽量减少颁发欺诈证书。

谷歌指出,赛门铁克未能确保正确的域名验证,对于申请特殊域名SSL证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此,谷歌认为赛门铁克没有足够的监督能力。 

赛门铁克由于多年来的收购,现已控制了几个以前独立的认证机构的根证书,包括 VeriSign、GeoTrust、Thawte 和 RapidSSL,使其成为世界上最大的商业证书颁发机构。Google 的这项行动将给赛门铁克带来巨大的压力,因为公司必须与所有客户联系,重新验证其身份和所有权,并将其现有证书替换为新的证书,而且有可能要全部免费更换,有些公司甚至在短时间内更换证书还会出现问题。除此之外,赛门铁克可能必须给支付 EV 证书的客户退款,因为它们将不再被 Chrome 认可,失去了价值。

这已经不是谷歌第一次警告赛门铁克错误签发证书的问题:

可以肯定地说,Google 的制裁会对赛门铁克的 SSL 业务产生重大影响,这还是第一次浏览器供应商因行为不当对 CA 进行如此严厉且大规模的处罚。

2015年9月和10月,Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。Google称其不能确定赛门铁克的该Root CA签发的证书将不会被用于拦截、破坏或冒充Google产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。

图片 2

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。 

赛门铁克自然是强烈反对 Google 的计划,批评其对公司过去的误解,并用言论对用户造成“夸张和误导”。该公司在想办法尽可能减少 Google 带来的潜在伤害,打算与 Google 讨论此事并寻求共同商定的解决方案。

采取的措施