赛门铁克证书遭到谷歌封杀

Google声称 ,赛门铁克签发证书时对网站所有者的权限鉴定过于简单,并且导致了约 30000 个非法证书的签发,Google Chrome 开发者正计划采取行动,来限制安全公司赛门铁克所发行的传输层安全证书。

谷歌指出,赛门铁克未能确保正确的域名验证,对于申请特殊域名SSL证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此,谷歌认为赛门铁克没有足够的监督能力。

谷歌的行动

  1. 立即 降级赛门铁克的所有 EV 证书,停用额外验证。
  2. 赛门铁克新颁发的 SSL 证书可接受的最大有效期缩短至 9 个月,在 Chrome 61 版本生效(预计9月12日发布)。
  3. Chrome后续一系列版本,将对目前所有赛门铁克已颁发的SSL证书越来越不信任,并要求这些证书重新验证和替换。
  • Chrome 59(Dev,Beta,稳定):33个月有效期(1023天)
  • Chrome 60(Dev,Beta,稳定):27个月有效期(837天)
  • Chrome 61(Dev,Beta,稳定):21个月有效期(651天)
  • Chrome 62(Dev,Beta,稳定):15个月有效期(465天)
  • Chrome 63(Dev,Beta):9个月有效期(279天)
  • Chrome 63(稳定):15个月有效期(465天)
  • Chrome 64(Dev,Beta,稳定):9个月有效期(279天)

目前其他浏览器暂时没有做出回应。

历史问题

并且,谷歌并非第一次发现赛门铁克的证书签发出现问题

2015年9月和10月,Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。Google称其不能确定赛门铁克的该Root CA签发的证书将不会被用于拦截、破坏或冒充Google产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的”Class 3 Public Primary CA”根证书。

自1月19日开始,Google Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误,这导致我们对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。

赛门铁克的行动

2017年3月16日起,赛门铁克正式更改了其证书验证程序。赛门铁克新的证书验证程序主要影响的是SSL的DV类证书,但也会对OV和EV类证书产生少量影响。做出这些改变,是为了遵守即将生效的CAB论坛169号、181号决议。

相关阅读

https://www.ixh.me/2016/09/ssl-secretary-wosign/

BBC NEWs(http://www.bbc.com/news/technology-39365315)

ChinaBeta(http://www.cnbeta.com/articles/soft/595979.htm)

2 条评论

发表评论

*

  • 但是Let’s Encrypt自动给各种钓鱼网站签发却不会有任何问题(