感謝Kelly的投遞
今年3月穀歌和火狐調查發現賽門鐵克未經授權錯誤簽發大量SSL證書的嚴重問題。7月28日穀歌正式宣布不再信任賽門鐵克Symantec旗下所有SSL證書GeoTrust、Thawte和Rapid SSL等子品牌也受到同樣懲罰。賽門鐵克已同意該提案外媒報道稱其已經在考慮出售CA業務。
事件經過
2017年3月份穀歌和火狐的調查人員發現賽門鐵克打破了行業規則誤簽發127張SSL證書隨著調查進一步開展發現誤簽發的證書數量達到驚人的3萬多張。
這個數字震撼了業界專家因為賽門鐵克是市場上最大的CA之一很少有人敢於做出反應。穀歌是第一個對賽門鐵克SSL發行程序表示不滿的並宣布有意在Chrome中逐步刪除對Symantec證書的支持。
穀歌指出賽門鐵克未能正確驗證域名對於申請特殊域名SSL證書的申請者身份審核草草了事。此外賽門鐵克公司的員工既沒有對未經授權發行的證書進行日誌審核也沒有對這一缺陷進行改進。因此穀歌認為賽門鐵克沒有足夠的監督能力。
這已經不是穀歌第一次警告賽門鐵克錯誤簽發證書的問題
2015年9月和10月Google發現賽門鐵克旗下的Root CA未經同意簽發了眾多域名的數千個證書其中包括Google旗下的域名和不存在的域名。Google認為該Root CA簽發的證書可能被用於攔截、破壞或冒充Google產品或用戶的安全通信且賽門鐵克在知道以上威脅的情況下也不願詳細說明簽發這些證書的用途。
2015年12月Google發布公告稱Chrome、Android及其他Google產品將不再信任賽門鐵克(Symantec)旗下的"Class 3 Public Primary CA"根證書。
最終結果
起初賽門鐵克否認所有不合規行為稱之為"誇張和誤導"的結果。盡管如此賽門鐵克已經預見到不好的結果最終以談判達成共識。7月28日穀歌宣布了賽門鐵克同意的提案將執行時間從原本計劃的今年10月份Chrome 62延期至明年4月份(Chrome 66)分階段實施並最終完全移除對賽門鐵克SSL證書的信任。
第一階段賽門鐵克變成子CA2017年12月1日
2017年12月1日-賽門鐵克與另一個SSL證書頒發機構合作以賽門鐵克的名稱頒發證書。賽門鐵克將在技術上成為一家子CASub CA。
穀歌和其他瀏覽器廠商希望將SSL簽發權轉移到另一個CA的基礎設施上防止賽門鐵克破壞規則為不應該簽發證書的站點頒發證書。與此同時賽門鐵克可以默默地準備一個新的基礎設施構建其新的SSL業務。然而該公司已經開始考慮出售CA業務。
第二階段Chrome 66不信任賽門鐵克部分證書2018年4月
穀歌Chrome 66發布時預計2018年4月將開始第二階段的懲罰。從Chrome 66版本開始Chrome將不信任2016年6月1日之前簽發的所有賽門鐵克SSL證書。
第三階段Chrome 70完全不信任賽門鐵克所有證書2018年10月
穀歌Chrome 70發布時預計2018年10月Chrome將不信任2017年12月1日之前簽發的所有賽門鐵克SSL證書。
穀歌Chrome將刪除賽門鐵克當前所有根證書賽門鐵克收購的其他CA如GeoTrustThawte和Rapid SSL都將遭受同樣的懲罰FirFox、Safari等瀏覽器廠商可能不久後也會跟進。在應用程序或網站上使用了Symantec SSL證書及其旗下GeoTrustThawte和Rapid SSL證書的網站管理者應盡快替換其他全球信任的SSL證書。
本站是國內首家獨立娛樂新聞網站,致力於報道全方位的明星資訊,曾率先報道陳曉旭出家等獨家娛樂消息;與50多家娛樂媒體、300多位娛樂作者具有合作關係,提供最 ...
明星 · 時尚 · 時尚資訊 · 電視 · 圖片 · 電視資訊相關文章
没有评论:
发表评论