Google Chrome 浏览器将整治所有赛门铁克 SSL/TLS 证书 – 小文's blog

Google Chrome 浏览器将整治所有赛门铁克 SSL/TLS 证书

导语:在一份声明中, Google Chrome 团队开发者 Ryan Sleevi 称发现赛门铁克错误颁发三万多个 SSL 证书,并且知晓后在长达一个月的不作为, Chrome 立即将赛门铁克及其所属 CA 的颁发的 SSL EV 证书(浏览器地址栏显示绿锁)降级到普通证书(灰锁),并在未来几个版本的浏览器更新中逐步过期所有赛门铁克证书。赛门铁克证书占所有活跃证书数量的 30%~ 45%,如果不是考虑到大规模瘫痪整个网络的风险, Chrome 应该一夜间吊销所有赛门铁克证书。此次事件影响极大,国内的七牛和阿里云等网络巨头已经在过去一段时间里颁发了无数个免费赛门铁克证书。颁发及使用赛门铁克证书的公司应该立刻采取行动,更换证书。

近日,互联网界一场关乎权威、信任、制裁的大战拉开序幕,谷歌和赛门铁克开撕,巨头怼巨头 。(不太了解赛门铁克(Symantec)的请自行谷歌

Google Chrome开发人员严重责骂HTTPS凭证的最大供应商之一,宣布计划在被发现超过30,000个证书的发现后严格限制赛门铁克所有发行商出售的运输层安全证书。

在一份声明中, Google Chrome 团队开发者 Ryan Sleevi 称发现赛门铁克错误颁发三万多个 SSL 证书,并且知晓后在长达一个月的不作为, Chrome 立即将赛门铁克及其所属 CA 的颁发的 SSL EV 证书(浏览器地址栏显示绿锁)降级到普通证书(灰锁),并在未来几个版本的浏览器更新中逐步过期所有赛门铁克证书。赛门铁克证书占所有活跃证书数量的 30%~ 45%,如果不是考虑到大规模瘫痪整个网络的风险, Chrome 应该一夜间吊销所有赛门铁克证书。此次事件影响极大,国内的七牛和阿里等网络巨头已经在过去一段时间里颁发了无数个免费赛门铁克证书。颁发及使用赛门铁克证书的公司应该立刻采取行动,更换证书。

 

简而言之就是:

封杀!

赛门铁克CA为网站颁发证书,

谷歌却说他的证书有问题不可信,

这已经是个原(da)则(lian)问题了。

【一个老梗】

打个不严谨的比方,

一个很有声望的教授经常为学生写推荐信,

推荐学生去知名公司上班,

这时忽然

有个知名的大公司跳出来说:“

这教授推荐的人不行啊,

三观不正能力不行,

完全是瞎搞!”

然后列举了许多他胡乱举荐的例子,

让教授的公信力瞬间大打折扣,

其他公司也不敢要他推荐的学生了。

谷歌就是这个跳出来的公司,

赛门铁克就是写举荐信的教授。

浏览器和CA的相爱相杀

要了解此次谷歌和赛门铁克互撕事件背后的利害关系,还得从 CA证书的原理来说起。我们平时使用浏览器时,经常看到一个绿色的小锁

 

它表明你进入的是真的,而不是伪造的网站,并且所有通信都会基于证书来进行加密。

CA机构给网站颁发证书(证书签发机构,简称“CA”),浏览器则会通过一些加密、哈希算法验证证书是否有效,最后告诉用户。

证书一般分成三类: DV、OV 、和 EV ,加密效果都是一样的,区别在于:

  • DV(Domain Validation),面向个体用户,安全体系相对较弱,验证方式就是向 whois 信息中的邮箱发送邮件,按照邮件内容进行验证即可通过;
  • OV(Organization Validation),面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA通过拨打信息库中公司的电话来确认;
  • EV(Extended Validation),URL 地址栏展示了注册公司的信息,这类证书的申请除了以上两个确认外,需要公司提供金融机构的开户许可证,要求十分严格。
  • OV 和 EV 证书相当昂贵。

那么问题来了,CA机构掌握“生杀大权”,如何颁发证书全凭他说了算,浏览器只是一个验证的角色。万一 CA胡乱颁发证书怎么办?又或者,如果CA机构被黑客入侵导致证书泄露,造成了问题怎么办?

对于大多数普通用户来说,一旦网站出现问题,他们只会认为:浏览器告诉我这个网站是可信的,可是我被黑了,浏览器骗了我,浏览器有问题!

CA开心地卖证书赚钱,出了问题浏览器厂商也要背锅。于是市场份额最大的 Chrome 开始了“找茬”之路。此次谷歌和数字证书领域的老大哥赛门铁克交手,也并不是第一次。

你出问题,我就找茬

2011年3月,证书市场份额前列的科摩多(Comodo)公司遭黑客入侵,七个Web域共9个数字证书被窃,包括:mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。当时有人称那次事件为“CA版的 911攻击。”

同年,荷兰的 CA机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。由于这些伪造证书,数百万用户遭到了中间人攻击。

这些事件给人们敲响了警钟,结束了人们盲目信任CA的时代,也为谷歌之后的一系列动作埋下了伏笔。

2013年“棱镜门事件”爆发,斯诺登泄露的文件中透露:美国国家安全局就利用一些 CA颁发的伪造SSL证书,截取和破解了大量 HTTPS 加密网络会话。

谷歌再也坐不住了,同年便发起了证书透明度政策(Certificate Transparency,简称CT)。这一政策的目标是提供一个开放的审计和监控系统,让任何域名所有者或者 CA确定证书是否被错误签发,或者被恶意使用,从而提高HTTPS网站的安全性。

这个计划具体是这么来做的:

要求CA公开其颁发的每一个数字证书的数据,并将其记录到证书日志中。

这个项目并没有替代传统的CA的验证程序,但是谷歌起到了一个监督CA的作用,用户可以随时查询来确保自己的证书是独一无二的,没别人在使用你的证书,或者伪造你的证书。

证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击。

之后的几年里,证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书,比如帮助 facebook团队发现了不少伪造其证书的子域名网站。

从那时开始,浏览器厂商和 CA机构之间的其妙关系就开始导致了更多事情。

和赛门铁克交手

2015年9月和10月,Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。

赛门铁克当时的解释是:“那批证书只是一个测试证书,仅测试一天就吊销了,没有泄露出去也没有影响到用户” 。赛门铁克随后还是炒掉了相关的雇员。

然而这一系列动作并没有改变谷歌的对此事的决策。

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。

中国沃通遭众浏览器“群殴”

2016年1月1日,各大浏览器厂商开始停止接受一些用陈旧的SHA-1 算法进行签名的证书,因为SHA-1算法已经被证实可破解,伪造证书的成本比较低。

为了规避 SHA-1停用策略,

沃通将证书的签发时间倒填成2015年12月份。但是很快就被Mozilla 基金会发现,然后:

  • Mozilla基金会 (火狐浏览器)决定沃通和其旗下StarSSL签发的证书;
  • 苹果将沃通的根证书从证书存储库中移除;
  • Chrome 56 开始,不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21 日之后所颁发的证书,直到最终完全移除对这两个 CA的信任!

在推动证书的升级、机制的优化方面,浏览器厂商显得更加积极主动。谷歌对CA机构的公开催促就是最好的证明。

2016年10月,谷歌通过公开邮件组发布公告:

2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策,以获得Chrome的信任。

平衡将要打破?

谷歌似乎也发现自己招惹的CA机构越来越多了,但是他们干脆一不做二不休,自己来做CA。

2017年1月26日,谷歌宣布,为了能够更快速地处理Google 产品的SSL/TLS 的证书需求,谷歌将建立自己的ROOT CA(根证书颁发机构)。

当时,这一做法便引来了许多网友的质疑:“Google 又做浏览器又做CA,这样真的好吗?”

谷歌手握全球覆盖率最高的浏览器Chrome,并在CAB forum国际标准组织中扮演重要角色,掌握着全球CA机构的生杀大权,拥有不信任任意一家CA根证书的权利,如今又建立自己的CA机构。这可能会使全球浏览器和CA市场的格局发生显著变化。

回到此次谷歌和赛门铁克对撕事件:

谷歌称发现赛门铁克2015年曾误发了超过3万个证书。

赛门铁克则回应那次误发的数量只有127个,谷歌在夸大其词。

在编辑看来,具体的数字对于整体的局势来说其实并不重要,因为不会改变双方对于证书信任问题的对立关系。

赛门铁克此次表示,所有大型的CA都发生过 SSL / TLS 证书误发的事件,但Google却不知为何专门把赛门铁克挑出来。

Mozilla基金会(火狐浏览器) 最近也在考虑对赛门铁克进行制裁,并可能和Google的行动保持一致。

显然,在CA这件事上,谷歌背后有 Mozilla、Opera 等众多浏览器供应商,赛门铁克的背后也是众多CA机构。只要信任、安全的问题依然存在,这一系列的争端、对立未来也必将将延续下去。但无论如何,

加密算法更迭、机制更加透明……这些事情确确实实在发生,我们普通用户总是受益的一方。

 

 

Google Chrome团队的软件工程师Ryan Sleevi周四在网路论坛上表示,Chrome计划立即停止认可由赛门铁克拥有的证书机构颁发的所有证书的扩展验证状态。 扩展验证证书应通过在地址栏中显示经过验证的域名持有人的名称来提供网站真实性的增强保证。 在Sleevi宣布的移动下,Chrome将立即停止显示该信息至少一年。 实际上,证书将被降级到不太安全的域验证证书。

Google逐渐推出更新Chrome,以便有效地取消所有由Symantec拥有的CA颁发的当前有效证书。 随着赛门铁克证书在2015年占互联网有效证书的30%以上,这一举措有可能阻止数百万Chrome用户访问大量网站。 此外,Sleevi引用了Firefox数据,显示Symantec颁发的证书负责所有证书验证的42%。 为了尽量减少中断的可能性,Chrome将以一种需要随时间更换的方式错开大规模的无效。 为此,Chrome将逐渐降低Symantec颁发的证书在一系列版本中的“最大年龄”。 Chrome 59将在到期后限制不超过33个月。 Chrome 64,有效期将限制在九个月。

周四的公告只是Google针对赛门铁克发行人18个月的做法批评的最新进展。 2015年10月,Symantec未经域名持有人许可,发布了一批未公开的员工,负责向第三方域名颁发测试证书。 其中一个扩展验证证书涵盖了google.com和www.google.com,并且会赋予其拥有加密方式假冒这两个地址的能力的人。 一个月后,Google发现错误发布远远超出了赛门铁克公司首次透露的情况,迫使赛门铁克对其证书颁发流程进行了昂贵的审核。

一月份,一名独立的安全研究员发现证据证明赛门铁克不正当地颁发了108份新证书。 周四公布的消息是Google调查显示,在过去的几年中,赛门铁克公司不正当地发行了3万多份证书。 这种错误颁发的证书代表了对整个互联网人群的一个潜在的重大威胁,因为它们使得持有者可以加密地模拟受影响的站点并监视从合法服务器发送的通信。 它们主要违反所谓的基准要求,主要浏览器制造商将CA作为受主要浏览器信任的条件。

 

在周四的帖子中,Sleevi写道:

根据Chrome的“根证书”策略中的捕获,根证书颁发机构有望执行许多与授予的信任相称的关键功能。这包括正确确保对服务器证书执行域控制验证,频繁审核日志以证明未经授权的发行,并保护其基础架构,以最大限度地减少发布欺诈证书的能力。
根据赛门铁克公开提供的细节,我们不认为他们已经妥善维护了这些原则,因此为Google Chrome用户带来了巨大的风险。赛门铁克允许至少四个方面访问其基础设施,以促成证书颁发,没有足够的监督这些能力的要求和预期,当提供证据表明这些组织未能遵守适当的护理标准,及时披露这些信息或确定报告给他们的问题的重要性。

这些问题以及相应的适当监督失败,跨越了几年的时间,并且从公开的信息或赛门铁克共享的信息中可以轻易识别。

这些问题的全面披露已经花了一个多月。赛门铁克未能及时向社区提供有关这些问题的更新。尽管知道这些问题,赛门铁克一再未能主动披露。此外,即使问题已经公开,赛门铁克还没有提供社区所需的信息来评估这些问题的重要性,直到被特别质疑为止。 Symantec提出的修复步骤涉及到依赖已知问题的信息或使用实践不足以提供基准要求和Chrome根CA策略预期所要求的保证级别。

 

在电子邮件的声明中,赛门铁克官员写道:

作为全球领先的网络安全公司和领先的认证机构的市场,我们了解我们为我们的客户和大家谁使用互联网的信任链的重要性。我们了解到谷歌的建议时,他们今天张贴在自己的博客。他们的沟通是意外和他们提出的行动是不负责任的。我们的SSL / TLS证书客户和合作伙伴需要知道,这并不需要在这个时候采取任何行动。

赛门铁克屡次违反强调的问题,谷歌和其他人在执行的基本要求条件之一。当侵权行为是发行人与一个足够大的市场份额进行他们认为太大而不能倒闭。如果谷歌是请求撤销所有赛门铁克颁发的证书的一夜之间,它可能会引起广泛的停电。通过Sleevi列出的处罚似乎旨在尽量减少这种干扰,同时还严格有意义的惩罚。

处罚立即撤销只能由赛门铁克,此举很可能是一个重大的烦恼许多赛门铁克客户和他们的网站访问者发出扩展验证证书的状态,但不会使网站无法使用。所有赛门铁克证书的不信任,同时,具有创建互联网范围内的问题的更高的潜力。

作为Sleevi解释的那样:“通过逐步在经过一系列版本的这种变化,我们的目标是尽量减少任何给定的释放带来的影响,同时还不断地正在朝着恢复必要的安全水平,确保赛门铁克颁发的证书的进步是因为守信从其他CA证书“。

更新2017年3月24日08:22 PDT:在公布的周五早上的博客文章,赛门铁克官员再次抨击谷歌后。该官员还有争议30000证书的身影。

“谷歌的了解我们的发行惯例,而我们过去的错误发行的范围陈述被夸大和误导,”他们写道。“例如,谷歌的要求,我们有误发行30000 SSL / TLS证书是不正确的。倘若谷歌指的是,127名的证书而不是30000被确定为误发,他们没有导致消费者的伤害。我们已经采取了大量补救措施,以纠正这种情况,立即终止所涉及的合作伙伴被任命为注册机构(RA),并以此举强化赛门铁克颁发的SSL / TLS证书的信任,宣布我们的RA程序的中止。 “

在一封电子邮件,谷歌官员写道:“我们非常感谢赛门铁克的响应这仍然是一个持续的讨论,我们期待着继续对这个问题我们与赛门铁克的谈话,我们要启用的兼容性和互操作性的开放和透明的评估风险,相对于我们的用户潜在的安全威胁。”

 

意图弃用和删除:在现有的赛门铁克颁发的证书信任

注 :从历史上看,谷歌Chrome团队已经不使用 闪烁过程 的证书颁发机构有关的安全问题,其中也出现了一些在过去几年。然而,我们感兴趣的是采用这种工艺对于这样的变化探索,因为它提供的透明度和公众参与程度更大。基于参与,我们收到反馈的水平,我们可以考虑使用这个未来。然而,由于CA有关的安全事故可能需要立即响应,以保护用户,这不应该被看作是保证这一进程能够在未来事件的反应中使用。

 

主要工程(和PM)电子邮件:

rsleevi@chromium.orgawhalley@chromium.org

 

概要

自1月19日谷歌Chrome团队一直由赛门铁克公司调查一系列失败的正确验证证书。在本次调查的过程中,由赛门铁克提供的解释揭示了一个不断增加,每个组来自谷歌Chrome团队成员的问题misissuance的范围;一组初始据说127的证书已扩大到包括至少30,000证书,颁发过了一段跨越数年。这也加上以下一系列的失败 从赛门铁克前一组misissued证书 ,使我们不再有过去几年的发证政策和赛门铁克的做法信心。要恢复我们的用户的信任和安全,我们提出以下步骤:

  • 在新发行的赛门铁克颁发的证书到九个月或更小,所接受的有效期的减少,以尽量减少可能产生的任何进一步misissuances谷歌浏览器的用户造成任何影响。

  • 增量不信任,跨越了一系列谷歌浏览器的发布,所有当前信任赛门铁克颁发的证书,要求他们重新验证和更换。

  • 承认赛门铁克的扩展验证状态的去除颁发的证书,直到这样的时刻,社会各界可在赛门铁克的政策和做法得到保证,但不早于一年。

 

动机

在Chrome中的拍摄 根证书政策 ,根证书颁发机构预计执行数与授予他们的信任相称的关键功能。这包括正确确保域控制验证服务器证书进行频繁的审计日志未经授权发行的证据,并保护他们的基础设施,以尽量减少发行欺诈证书的能力。

 

在由赛门铁克提供的公开细节的基础上,我们不相信他们已经正确地坚持这些原则,正因为如此,已经创造了谷歌Chrome浏览器用户显著风险。赛门铁克允许在至少四个政党访问其基础架构的方式造成证书颁发,根据需要和预期,当与这些组织有法不依关心的相应标准的证据提出没有充分监督这些能力,未能及时披露该等资料或识别的报给他们的问题的重要性。

 

这些问题,以及相应的监督相应的故障,跨越了一段好几年了,是从公开的或赛门铁克共享的信息平凡识别。

 

这些问题的充分披露已采取了一个多月。赛门铁克未能提供有关这些问题的及时更新社会。尽管有这些问题的认识,赛门铁克已经多次未能主动披露。此外,即使问题已经成为公众,赛门铁克没有提供所要求的社会评价这些问题的重要性,直到他们已经明确提出质疑的信息。赛门铁克提供建议的补救措施都涉及依靠已知问题的信息或使用不足以提供受Chrome根CA政策的基本要求所要求和期望的保证水平的做法。

 

在2015年1月,赛门铁克颁发的证书体积表示的有效证书的30%以上。而在CA生态系统的变化已经看到在过去的两年中这一比例下降,但仍然是一个立即和完全不信任显著的兼容性风险。此外,由于整体TLS生态系统的问题,我们知道,它可能需要不平凡的努力,一些网站经营者找到合适的解决方案,需要支持旧设备可能需要使用特定的CA,这意味着新的证书也互不信任有显著的兼容性风险。

 

为了平衡兼容性风险与安全隐患,我们建议所有现有的赛门铁克颁发的证书的逐步不信任,要求他们随着时间的推移新的,完全重新验证证书,符合目前的基本要求进行更换。这将逐渐减少赛门铁克颁发的证书的“最大年龄”在一系列发布,不信任,其有效期(notBefore到notAfter差)超过规定的最大证书来完成。

 

所提出的时间表如下:

Chrome浏览器59(开发,测试版,稳定)33个月的有效期(1023天)

Chrome浏览器60(开发,测试版,稳定版):27个月的有效期(837天)

Chrome浏览器61(开发,测试版,稳定版):21个月的有效期(651天)

Chrome浏览器62(开发,测试版,稳定版):15个月的有效期(465天)

Chrome浏览器63(开发,测试版):9个月的有效期(279天)

Chrome浏览器63(稳定):15个月的有效期(465天)

Chrome浏览器64(开发,测试版,稳定):9个月的有效期(279天)

 

所提出的时间表试图避免在Chrome 63稳定进行更改,因为这将寒假生产冷冻许多组织进行过程中被释放。这完全是为了降低网站运营商和用户中断,并试图恢复与Chrome浏览器64之后的节日。此外,在浏览器59和60的变化的实际影响是相对最小的,由于许多在此期间的使用SHA-1,其不再支持在Chrome证书被发布时间发出的证书的。

 

此外,我们建议规定所有新颁发的证书必须具备的,为了不大于9个月(279天)的有效期在谷歌浏览器信任,铬61有效这就保证了任何进一步misissuance的风险,顶多限于九个月,更重要的是,如果任何进一步的行动是必要或有必要,整个生态系统可以在一段时间内迁移,从而减少进一步的兼容性问题的风险。

 

通过结合这两个步骤,我们可以确保保证在赛门铁克颁发的证书的级别是能够匹配什么是谷歌Chrome和生态系统的预期,而这些风险都来自过去和未来可能misissuance造成最小不亚于可能。

 

鉴于这些问题,赛门铁克的多重故障的性质,以确保由证书提供的保证水平符合基本要求或扩展验证准则的要求,我们不再有信心必要的,以便给予赛门铁克发行证书“扩展验证”状态。与当前和过去的misissuance记载,赛门铁克未能确保组织属性,此类证书的地址栏中显示的范围内,满足质量和这样的显示需要验证的水平。因此,我们建议删除这些指标,立即生效,直到赛门铁克能够证明有必要授予这种信任持续的合规性,这将是一个没有期限不到一年的水平。这样的时间过去后,我们会考虑从赛门铁克的要求与更广泛的社区铬重新评估这个位置上,在合作。

 

兼容性与互操作性风险

与信任的证书颁发机构的任何减少,这会带来兼容性风险的不平凡的程度。这是因为网站经营者希望在所有客户端浏览器所识别他们的证书,如果一个或多个浏览器无法信任一个给定的CA,这是预防发生。

 

在另一方面,所有的网站经营者预计,证书将只为自己的域应其要求发出,并未能有保证显著破坏了HTTPS的两个网站运营商和用户的安全。

 

这种兼容性的风险特别高赛门铁克颁发的证书,因为他们收购的一些第一的CA,例如Thawte,Verisign等Equifax公司,这是一些最广泛支持的CA的。由于不信任的CA等创造了以老带新和设备由于需要确保网站经营者使用跨这些设备是公认的CA提供安全连接的一致好评,进一步的困难。

 

此外,CA的直接不信任,因为有必要在过去,可以显著影响既网站运营商和用户。网站运营商被迫以获取来自其他CA,证书,而无需机会和时间去研究哪些CA最好地满足他们的需求,用户会遇到错误的大量直到这些网站的经营行为,调节他们忽视安全警告。在只有一个单一的浏览器不信任这样的CA的情况下,错误往往被视为浏览器的故障,尽管它是在CA的失败提供保障的必要水平,现场操作人员及时响应。

 

评估与两个边的兼容性风险和Safari是困难的,因为既不微软苹果公开之前制定他们交流他们的信任变化。

 

而Mozilla进行了讨论,公布关于证书颁发机构,并且将被惊动的这些最新的问题第一,他们还没有开始的下一个步骤,如何更好地保护他们的用户讨论。我们的希望是,这个建议可以被视为一个适当的平衡了网站的运营,浏览器和用户的需求的安全性和兼容性风险,我们欢迎所有的反馈。

 

其它实现方法为Web开发人员

该提案允许Web开发人员能够继续使用赛门铁克颁发的证书,但会看到他们的有效期缩短。这确保Web开发者都意识到了风险,赛门铁克颁发的证书,另外misissuance事件应该发生的未来不信任的潜力,同时也让他们的灵活性,继续使用这样的证书,如果有必要。

 

从使用信息 UseCounter :

适用于各种非技术原因,我们做的CA目前没有仪器的使用。此外,与相交的有效期使用信息存在几个公开的指标,因为只有证书有效期超过九个月越大其正常的更换周期之外的影响。从Mozilla Firefox浏览器的遥测,我们知道,赛门铁克颁发的证书是负责证书验证的42%。然而,该数目并不是严格用于影响的指标,因为这个号码被朝向计数证书偏置以用于重贩卖位点,并且其发行是完全自动的和/或它的有效期将不受影响,因此显著拔高的影响。通过逐步在通过一系列释放这样的变化,我们的目标是尽量减少任何给定的释放带来的影响,同时还不断地正在朝着恢复必要的安全水平,确保赛门铁克颁发的证书是从其他CA证书是值得信赖的进步。

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。

谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。

谷歌软件工程师瑞恩·斯利维写道:

“1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。”

谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。2015年10月,谷歌也就证书颁发问题公开警告了赛门铁克。

谷歌准备对赛门铁克采取一系列行动,包括缩短新颁发证书有效期到仅9个月或更短的时间,以及取消对赛门铁克扩展验证(EV)证书的识别。另外,谷歌计划展开对赛门铁克证书的“增量不信任”行动,全部现行此类证书在一段时间内将不被信任,需要重新验证并替换掉。

就其本身而言,赛门铁克是不同意谷歌的立场的。在自有博客上,赛门铁克辩称,谷歌的声明是“不负责任的”,且有夸大和误导的嫌疑。

赛门铁克表示,所有主流证书认证机构(CA)都存在SSL/TLS误颁问题,但谷歌仅仅挑出赛门铁克证书认证机构来说事儿——在谷歌博客贴出的误颁问题涉及多家CA的情况下。

有安全专家对谷歌在证书完整性上的立场持乐观看法。凯文·波塞克,Venafi安全策略与威胁情报副总裁,认为谷歌的做法是对的——鉴于SSL/TLS证书是互联网信任与隐私的基石。

然而,谷歌对赛门铁克证书的信任撤销,可能会对整个互联网产生重大影响。波塞克称,大大小小的公司企业不得不尽快找出并替换掉赛门铁克证书。

“更重要的是,谷歌提出赛门铁克的扩展验证证书不应该再被信任。这类证书被银行、零售商、保险商和政府广泛使用,承载着最高级别的信任。

这可能会对使用赛门铁克EV证书的组织造成很大影响,尤其是在安全上投入很多的大型企业或组织,往往不能够在影响到业务之前,很快地找出并替换掉这些证书。

斯科特·佩特里,Authentic8首席执行官,同样认为谷歌提出该问题是正确的做法。

“赛门铁克公司证书相关失职问题由来已久,而问题证书在今天这种监视状况下的风险是十分巨大的。最初的几步并非重拳出击,但释放了强烈的信号。”

大卫·考克西,ID Dataweb 首席执行官,认为谷歌的举动并不太猛烈。谷歌可以采取的最严酷行动,是在Chrome浏览器根信任存储区中直接抹去赛门铁克。

“然而,他们采取了温和的办法,分阶段淘汰老旧证书。这会导致现在还有效的站点在用户会话中不再有效,而这又会迫使这些站点的拥有者从可信提供商处购买新的SSL证书。”

波塞克认为,不考虑最终结果的话,谷歌的举动更像是对公司企业的一记警钟。大多数公司缺乏根据外部情况快速迁移、增加或修改证书、密钥或CA的能力。

佩特里对谷歌和赛门铁克解决SSL/TLS证书问题持乐观态度。他还对该争端有助于进一步教育市场SSL/TLS证书问题抱有期望。大多数互联网用户在Web安全上表现出两极态度:某站点SSL/TLS证书失效的话,半数以上的用户就会点击小红叉关掉了,而另一半用户只要地址栏的小锁头图标是绿色就会感觉自己是安全的。

“SSL证书满足了互联网生态系统中的特定需求,但它们不是万灵丹。它们在浏览器和主机间连接上建立一定程度的完整性,但不保证整个网站、内容或数据防护的有效性。

对此,龙腾网小编建议大家,做好准备换ssl证书,startssl也是一样。一直免费下去,之后也被Chroem封杀,总的来说是免费的证书导致网络信息的安全性降低。看来以后免费的证书来书不好拿啊。

 

 

本文内容来源 Google官方,由Loongten龙腾网整合编辑而成。

 

文章:Google Chrome 浏览器将整治所有赛门铁克 SSL/TLS 证书 ,来自小文‘s blog,原文地址:https://www.qcgzxw.cn/1665.html 转载请注明出处。

 

打赏博主

点赞

发表评论

在发表评论前请确认您的言论中没有违反中国各项法律、法规和违背社会道德的内容。任何无意义的留言内容都会被直接删除。

上传图片