SSL信息
由于过去几年不断被曝光错误签发3万多张EV证书,谷歌宣布计划逐渐取消对赛门铁克公司签发的SSL证书的信任。
赛门铁克拥有的证书颁发机构颁发的所有证书的扩展验证(EV)状态将不再被Chrome浏览器识别至少一年,直到Symantec修复其证书颁发过程,以便再次被信任。
扩展验证证书应提供最高级别的信任和身份验证,在颁发证书之前,证书颁发机构必须验证请求实体的合法存在和身份。
Google Chrome团队的软件工程师Ryan Sleevi星期四在线上发布了这项公告,这一举措立即生效。
Sleevi说:“这也是赛门铁克以前发布的错误证书之后的一系列故障,导致我们对过去几年赛门铁克的证书颁发政策和做法不再信任。
SSL生态系统的重要组成部分之一是信任,但如果CA在发布域名的EV证书之前无法正确验证法定存在和身份,则这些证书的可信性将受到损害。
Google Chrome小组于1月19日开始调查,发现赛门铁克过去几年的证书颁发政策和做法不诚实,可能威胁到通过互联网认证和保护数据和连接的TLS系统的完整性。
在这一举措下,Google Chrome团队提出以下步骤作为惩罚:
1. 赛门铁克颁发的EV证书至今将被降级为不太安全的域名验证证书,这意味着Chrome浏览器将立即停止在地址栏中显示经过验证的域名持有人的名称至少一年。
2. 为了限制任何进一步的错误发生的风险,所有新颁发的证书的有效期必须不超过9个月(Chrome 61版本有效)才能在Google Chrome中信任。
3. 谷歌提出了一个增量的不信任,通过在各种Chrome最新版本”中逐渐降低赛门铁克证书的最长期限,以要求他们重新发布和重新验证。
Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)
Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)
Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)
Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)
Chrome 63 (Dev, Beta): 9 months validity (279 days)
Chrome 63 (Stable): 15 months validity (465 days)
Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days)
这意味着,预计将在2018年初推出的Chrome64,只会信任有效期九个月(279天)或更短的Symantec证书。
Google认为,这一举措将确保网络开发人员意识到未来赛门铁克颁发的证书的可能存在的风险,同时也给予他们“继续使用此类证书的灵活性”。
然而除了Chrome,别的浏览器厂商都在吃瓜
Google还表示,它将自己的计划通知给可其他浏览器厂商,如苹果,微软和Mozilla,但没有人回应自己的决定。
据Mozilla数据显示,Symantec在市场上占据了42%的证书验证。赛门铁克还收购了其他CA,它们现在是其根证书的一部分。该列表包括VeriSign,GeoTrust,Equifax,Thawte,TrustCenter等品牌。
赛门铁克通过博客回应,称Google声称其发出的30,000张SSL证书“夸大其词且具有误导性”:”Google指的是127个证书 - 不包括30,000个证书 - 被认定为误发,且这些证书并没有伤害到消费者的利益。 我们采取了广泛的补救措施来纠正这种情况,立即终止参与合作伙伴的任命为注册机构(RA),并且为了加强赛门铁克颁发的SSL / TLS证书的信任,宣布停止我们的RA计划。 [...]虽然所有主要的CA都经历了SSL / TLS证书错误发布事件,但Google偏偏这次挑中Symantec认证机构杀鸡儆猴,未免过于刻薄,更何况Google博客中发现的错误发布事件涉及到多个CA。“
该公司最近采取了一系列措施以改进其域名验证程序。
稿源: the hacker news / bleeping computer