Google Chrome 正式宣布將不再信任賽門鐵克所有 SSL 證書
責(zé)編:mhshi |2017-08-03 16:01:27今年 3 月谷歌和火狐調(diào)查發(fā)現(xiàn)賽門鐵克未經(jīng)授權(quán)錯(cuò)誤簽發(fā)大量 SSL 證書的嚴(yán)重問題。7 月 28 日谷歌正式宣布不再信任賽門鐵克 Symantec 旗下所有 SSL 證書 GeoTrust、Thawte 和 Rapid SSL 等子品牌也受到同樣懲罰。賽門鐵克已同意該提案外媒報(bào)道稱其已經(jīng)在考慮出售 CA 業(yè)務(wù)。
事件經(jīng)過
2017 年 3 月份谷歌和火狐的調(diào)查人員發(fā)現(xiàn)賽門鐵克打破了行業(yè)規(guī)則誤簽發(fā) 127 張 SSL 證書隨著調(diào)查進(jìn)一步開展發(fā)現(xiàn)誤簽發(fā)的證書數(shù)量達(dá)到驚人的 3 萬多張。
這個(gè)數(shù)字震撼了業(yè)界專家因?yàn)橘愰T鐵克是市場上最大的 CA 之一很少有人敢于做出反應(yīng)。谷歌是第一個(gè)對賽門鐵克 SSL 發(fā)行程序表示不滿的并宣布有意在 Chrome 中逐步刪除對 Symantec 證書的支持。
谷歌指出賽門鐵克未能正確驗(yàn)證域名對于申請?zhí)厥庥蛎?SSL 證書的申請者身份審核草草了事。此外賽門鐵克公司的員工既沒有對未經(jīng)授權(quán)發(fā)行的證書進(jìn)行日志審核也沒有對這一缺陷進(jìn)行改進(jìn)。因此谷歌認(rèn)為賽門鐵克沒有足夠的監(jiān)督能力。
這已經(jīng)不是谷歌第一次警告賽門鐵克錯(cuò)誤簽發(fā)證書的問題
2015 年 9 月和 10 月 Google 發(fā)現(xiàn)賽門鐵克旗下的 Root CA 未經(jīng)同意簽發(fā)了眾多域名的數(shù)千個(gè)證書其中包括 Google 旗下的域名和不存在的域名。Google 認(rèn)為該 Root CA 簽發(fā)的證書可能被用于攔截、破壞或冒充 Google 產(chǎn)品或用戶的安全通信且賽門鐵克在知道以上威脅的情況下也不愿詳細(xì)說明簽發(fā)這些證書的用途。
2015 年 12 月 Google 發(fā)布公告稱 Chrome、Android 及其他 Google 產(chǎn)品將不再信任賽門鐵克 ( Symantec ) 旗下的 “Class 3 Public Primary CA” 根證書。
最終結(jié)果
起初賽門鐵克否認(rèn)所有不合規(guī)行為稱之為 ” 夸張和誤導(dǎo) ” 的結(jié)果。盡管如此賽門鐵克已經(jīng)預(yù)見到不好的結(jié)果最終以談判達(dá)成共識。7 月 28 日谷歌宣布了賽門鐵克同意的提案將執(zhí)行時(shí)間從原本計(jì)劃的今年 10 月份 Chrome 62 延期至明年 4 月份 ( Chrome 66 ) 分階段實(shí)施并最終完全移除對賽門鐵克 SSL 證書的信任。
第一階段賽門鐵克變成子 CA2017 年 12 月 1 日
2017 年 12 月 1 日 – 賽門鐵克與另一個(gè) SSL 證書頒發(fā)機(jī)構(gòu)合作以賽門鐵克的名稱頒發(fā)證書。賽門鐵克將在技術(shù)上成為一家子 CASub CA。
谷歌和其他瀏覽器廠商希望將 SSL 簽發(fā)權(quán)轉(zhuǎn)移到另一個(gè) CA 的基礎(chǔ)設(shè)施上防止賽門鐵克破壞規(guī)則為不應(yīng)該簽發(fā)證書的站點(diǎn)頒發(fā)證書。與此同時(shí)賽門鐵克可以默默地準(zhǔn)備一個(gè)新的基礎(chǔ)設(shè)施構(gòu)建其新的 SSL 業(yè)務(wù)。然而該公司已經(jīng)開始考慮出售 CA 業(yè)務(wù)。
第二階段 Chrome 66 不信任賽門鐵克部分證書 2018 年 4 月
谷歌 Chrome 66 發(fā)布時(shí)預(yù)計(jì) 2018 年 4 月將開始第二階段的懲罰。從 Chrome 66 版本開始 Chrome 將不信任 2016 年 6 月 1 日之前簽發(fā)的所有賽門鐵克 SSL 證書。
第三階段 Chrome 70 完全不信任賽門鐵克所有證書 2018 年 10 月
谷歌 Chrome 70 發(fā)布時(shí)預(yù)計(jì) 2018 年 10 月 Chrome 將不信任 2017 年 12 月 1 日之前簽發(fā)的所有賽門鐵克 SSL 證書。
谷歌 Chrome 將刪除賽門鐵克當(dāng)前所有根證書賽門鐵克收購的其他 CA 如 GeoTrustThawte 和 Rapid SSL 都將遭受同樣的懲罰 FirFox、Safari 等瀏覽器廠商可能不久后也會跟進(jìn)。在應(yīng)用程序或網(wǎng)站上使用了 Symantec SSL 證書及其旗下 GeoTrustThawte 和 Rapid SSL 證書的網(wǎng)站管理者應(yīng)盡快替換其他全球信任的 SSL 證書。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧