SSL信息针对谷歌对Symantec证书提出取消信任的计划,以及谷歌可能采取的代价巨大、破坏性很强的措施,Symantec提出异议,声称这项建议将和有关方面受到的影响相抵消。
今年1月,安全研究人员Andrew Ayer发现了大约100个颁发不当的证书,这些证书可以追溯到Symantec证书颁发机构。3月,谷歌Chrome宣布,一项针对Symantec证书颁发机构业务情况调查揭示了“一系列故障”,并提出一项计划,内容包括将任何新的Symantec证书有效期缩短至9个月、重新验证并替换所有Symantec颁发的证书以及移除至少1年的Symantec颁发证书的扩展验证状态。
然而,Symantec发起了反击,指责谷歌对他们的这种特殊对待,还暗示这家搜索引擎巨头试图给Symantec的证书制造“不可靠、有疑问”的印象。但当Mozilla加入这场争论并强调了对Symantec证书颁发机构的担忧时,Symantec的压力更大了。这家反病毒软件公司终于给出了解决谷歌和Mozilla提出的问题的方案。
Symantec的建议回应了谷歌对其CA业务的担忧,称:“这项建议不会给我们的客户和Chrome用户造成任何损害,如果谷歌将这项建议付诸实施的话,我们相信它会起作用。”Symantec网站安全部门的执行副主席兼总经理Roxane Divol在一份给SearchSecurity的声明中说道。
“据我们所知,我们过去错误颁发的证书并未对客户造成损害,尽管如此,我们仍然认为遵守行业标准是我们证书颁发机构的重要责任,”Symantec在博文中这样宣称,并对他们的计划做了详细的阐述。“我们相信这项涉及多方面的建议能够应对关于Symantec过去和未来的SSL/TLS证书颁发问题。”
Symantec证书颁发机构建议增加业务透明度。具体的措施是实施更频繁、范围更大的审计、按季度公布工作进展;及为解决与CA/浏览器论坛基本要求相冲突的客户请求与该论坛进行协同工作,来制定和更新操作指南。
Symantec还提供更短有效期的选择:为有效期超过9个月的证书提供重新域验证;“进一步增加在CA操作‘安全和风险’功能方面的投资,关注我们的安全和合规控制以及风险评估”;更新根程序以反映不同类型证书的恰当用法;用Symantec全球智能网络“基于分级目录来识别具有较大威胁的加密网站,并采取适当措施降低我们为这些网站颁发的证书风险”。
Symantec在博客中指出,它向客户搜集了反馈信息,这些客户包括“世界上很多大型金融服务、重要基础设施、零售、医疗卫生机构及很多政府部门”。
2015年,谷歌发现Symantec为包括谷歌的域在内的一些它并无支配权的域颁发测试证书。此后,Symantec证书颁发机构的业务受到详细调查。因此,谷歌要求将Symantec证书纳入证书透明日志,同时要求对Symantec证书颁发机构开展额外的第三方审计。
Symantec可以选择拒绝吗?
”我对Symantec提出的补救计划非常失望。“约翰·霍普金斯大学化学副教授Tyrel M. McQueen说。
Sleevi写道:“Chrome团队与Symantec领导层会面,讨论并解释了有关问题,尽管过去几个月双方一直在就这些问题保持沟通。由于Symantec的问题太多,我们无法对这么多问题提出看法,因此我们计划再举行一次会晤。”
Sleevi在博客中分享了前两周Symantec和谷歌进行讨论的有关信息——其中包括一个“脱身”选项,Symantec需要将其证书颁发业务移交给一家或多家已有的证书颁发机构,才能继续留在这一行业。
鉴于其过去的行为方式,一些浏览器社区的成员对Symantec证书颁发机构可能会遭到的严重后果表示担忧。
“我对Symantec提出的补救计划非常失望。不管是不是有意的,这个回应看起来表示他们并未真正理解他们过去行为可能造成的严重后果,”约翰·霍普金斯大学化学副教授Tyrel M. McQueen以私人名义对Symantec在Mozilla开发者安全政策论坛提出的建议作出以上评论。
McQueen注意到Symantec的建议“无疑是在向Symantec和其客户呼吁”,“而没有去面对过去的行为所带来的风险,这些行为包括允许多个第三方在无有效监督的情况下对公开可信的根证书全权颁发证书链。”
McQueen认为,包括Symantec在内,没有人“对其过去的根证书下的行为(如十字标识、不受限制产生的证书颁发机构等)有一个全面的认识。这远比那些导致Mozilla程序下完全不信任的问题更加严重。”
去年被Mozilla从可信证书颁发机构名单中去除的中国证书颁发机构WoSign前CEO Richard Wang加入了这次关于政策清单的对话,他支持Symantec的建议。他写道,“对证书颁发机构和它的客户来说,替换那些超出你想象的证书是灾难性的,”他还补充说,WoSign仍在努力解决这次6个月后将要发生的证书混乱问题。
“由于Symantec客户的数量超过WoSign,而这些公司大多数也比WoSign的客户更大,我确信协同性和兼容性方面的问题会给Symantec、Symantec的客户和浏览器用户带来很大的麻烦,”Wang写道,同时补充说“我认为Symantec的建议很好,也会使其客户收益,并不会给世界带来困扰。”
有关谷歌怒怼赛门铁克的原委,请戳此处!
稿源:TechTarget