摘要
近日,Google Chrome工程師在開發者郵件列表上宣佈,計劃開始減少對賽門鐵克 TLS證書的信任,到2018年初完成,Chrome 64將賽門鐵克證書的信任期縮短至279天(約九個月)或更短時間。
Google Chrome團隊的軟件工程師Ryan Sleevi表示,自今年1月19日開始,Chrome團隊介入調查賽門鐵克公司的一系列證書問題。隨著調查的深入,根據賽門鐵克公司所提供的解釋已經表明每個問題的嚴重性不斷增加,已經從最初報告的127個問題證書擴展到至少30000個,而且這些證書都是在最近幾年發佈的。
Sleevi稱他們對賽門鐵克公司的證書籤發政策和實踐不再抱有信心,為了用戶安全起見,他們決定採取多個步驟減少對賽門鐵克所簽發證書的信任:對賽門鐵克新簽發證書接受的有效期減少到9個月或更少;通過多個版本的 Chrome 逐步減少對目前信任的賽門鐵克證書的信任,鼓勵替換現有的證書;移除對賽門鐵克所簽發證書的Extended Validatio狀態的認可。
Sleevi還稱,他們發現賽門鐵克公司允許至少四個第三方訪問它的基礎設施,甚至允許它們簽發證書。此外賽門鐵克公司此前發佈的證書也存在很多錯誤,這導致我們對賽門鐵克的證書頒發策略和機制產生強烈的質疑和不信任。
Sleevi指出,由於賽門鐵克提供超過30%的所有證書,如果立即頒佈禁令將不現實,因此信任度會逐漸減少。
“由於他們收購了一些頂尖的CA(認證機構),例如Thawte,Verisign和Equifax,這些CA獲得了最廣泛的支持。所以賽門鐵克頒發的這些證書風險性就非常高了。”Sleevi說。“由於需要確保站點運營商使用的CA在這些設備上被識別,所以不信任這樣的CA對於提供舊設備和新設備的安全連接造成了進一步的困難。“谷歌並沒有採取單方面的行動來防範賽門鐵克,因為如果只有一個瀏覽器不信任CA,用戶將其視為瀏覽器問題。”
Sleevi還說:“我們希望這個建議可以被視為適當平衡安全性和兼容性風險與現場運營商,瀏覽器和用戶的需求,我們歡迎所有的反饋。”
賽門鐵克的證書出現問題並非現在才發生,早在一年多以前就發生過。
2015年9月和10月,Google發現賽門鐵克旗下的Root CA未經同意簽發了眾多域名的數千個證書,其中包括Google旗下的域名和不存在的域名。賽門鐵克隨後表示,它解僱了相關僱員,並展開了內部審查,發現了其僱員還為23個域名頒發了測試證書,其中包括Google和Opera。
Google認為,賽門鐵克內部審計並不徹底,它花了幾分鐘就從 Certificate Transparency日誌裡發現了更多有問題的證書。賽門鐵克隨後證實,它發現了76個域名的164個問題證書,2456個未註冊域名證書。Google批評賽門鐵克連內部審計都做不好。它要求從2016年6月1日起,賽門鐵克頒發的所有證書都必須支持Certificate Transparency,不支持的賽門鐵克新頒發證書可能會在使用Google產品時出現問題。Google要求賽門鐵克更新他們的報告,詳細解釋如何採取措施阻止類似事件發生。
12月15日,Google在其官方博客上宣佈,其旗下Google Chrome瀏覽器、Android系統以及其他的Google產品,都將不再信任由賽門鐵克旗下Thawte CA頒發的Class 3 Public Primary CA根證書。
Google在博客中還透露與賽門鐵克交涉的結果:賽門鐵克似乎並不願意更換該證書,而Google稱該證書已經不能保證用戶的安全。結果就是Google將不再信任該證書,賽門鐵克則稱如果客戶遇到了被攔截的情況可以聯繫他們來妥善處理。
2017年3月16日起,賽門鐵克正式更改了其證書驗證程序。賽門鐵克新的證書驗證程序主要影響的是SSL的DV類證書,但也會對OV和EV類證書產生少量影響。做出這些改變,是為了遵守即將生效的CAB論壇169號、181號決議。
面對Google的強勢,賽門鐵克也不得不服軟,該怎麼辦就得怎麼辦!
注:本文由網安視界(網絡空間安全情報站和智庫)獨家創作整理,轉載請註明出處。更多精華文章請觀看公眾號:網安視界
相關推薦
