关注网络安全
和行业未来

谷歌怒怼赛门铁克 浪起谁死沙滩上?

出来混都得还,赛门铁克欠了客户,谷歌又何尝不是?

本文由 Patrick Nohe 于2017年3月29日发表在The SSL Store Blog

Symantec与浏览器社区(确切地说是谷歌)之间的长期争斗对整个SSL行业来说是相当不利的。其后果无疑将对整个互联网产生可见和不可见的影响。谷歌威胁可能会对已有的Symantec SSL证书取消信任,而Symantec也必须对此承担一部分责任,毕竟出来混迟早是要还的。

一石激起千层浪

谷歌的软件工程师Ryan Sleevi在3月23日提出一项建议,将取消对Symantec SSL证书的信任。他提出的具体措施是:

  • 将Symantec新颁发证书的有效期减少到9个月以下,以降低错误颁发证书对谷歌Chrome浏览器用户可能产生的影响。
  • 在多个版本的谷歌Chrome浏览器中增加对Symantec颁发的证书的不信任,并要求对这些证书进行重新验证和替换。
  • 取消对Symantec颁发的证书的扩展验证状态的认可,直到浏览器社区得到Symantec的政策和执行保证,这个时间不会少于一年。

这些措施面向了Symantec旗下所有品牌(GeoTrust、Thawte、RapidSSL,当然还包括Symantec本身)的SSL证书。

然而,事情还得从独立研究者Andrew Ayer所发的一篇帖子说起,这篇帖子是关于一些似乎是由Symantec错误颁发的证书引起的问题。后来,有关各方(Symantec、谷歌、Mozilla等)开始关注此事并展开调查,结果显示与Symantec合作的一些注册机构(RAs)存在问题。在某些海外地区,这些RAs与Symantec有特殊的合作关系,他们熟悉当地语言和办事方式,专门处理证书认证的问题。由此谷歌声称,Symantec未遵守行业标准,且不能提供必要的审计资料。因为这些公司都是以Symantec的名义颁发证书(或来自其根证书)的,所以谷歌认为Symantec对他们的错误难辞其咎。此外,谷歌并不认为Symantec对其合作伙伴的问题一无所知,而是认为Symantec对其合作伙伴的行为疏于监督。这次事件和2015年较晚时的一次类似的一致性问题加在一起,给谷歌带来了一些困扰,也最终导致Sleevi提议取消对Symantec证书的信任。

本文只涉及谷歌,因为它是唯一一个,直面大众的,并已经提出了正式建议的浏览器。Mozilla也在讨论处罚的措施。尽管Apple和微软没有过多地公开商讨这件事,但他们通常会与谷歌和Mozilla保持一致。

浪起谁死沙滩上

按照目前的情况,如果这项提议被接受,那么受到伤害的将是Symantec的客户。尽管谷歌在哪一方(当然不是谷歌)应受惩罚的问题上态度明确,但这项提议在很多方面都会产生严重破坏。

对Symantec的客户来说,任何已有的未设置为几个月内失效的SSL证书都需要重新颁发和安装。此外,如果你支付了超过9个月(适用于任何人)有效期的费用,那么多出来的那些费用就浪费了。我们预计,Symantec在证书续期过程中会采取补救措施。

最后,如果一个Symantec客户还购买了扩展验证(EV)SSL的高级服务,那么他就太不幸了,谷歌的惩罚是,Symantec将在至少一年内不能获得EV权限。所以,你要么去购买昂贵的DV证书(因为这本质上是浏览器的要求),要么只能找一家新的CA,然后再经历一遍完整的扩展验证过程,并花费更多的时间和金钱。

现在,Symantec已明确表示,将采取必要措施保护其客户免受不利影响,但它只能在其控制范围内采取行动。尽管它能够(也很可能会)轻易地为按照原来的证书有效期付费的客户提供免费续期,但它无法替换丢失的EV证书(而这对客户来说也许同样重要)、绿色地址栏,也无法帮助客户节省时间和免去客户重新安装新证书的麻烦。

即使在最乐观的情况下,相当一部分Symantec的客户也将在自身毫无过错的情况下受到影响。

为什么这件事对整个行业来说糟透了

让我们从头开始讨论,首先要承认,在我们经常参与的关于SSL的社区讨论中有一些问题看起来仍然悬而未决。围绕SSL/TLS出现了一个完整的产业。营利性CA、经销商、次级经销商和大量其他方面的机构一起成就了这个十亿美元级别的全球性产业。

很多人可能对此有疑问,一部分参与这次讨论的人认为在加密方面不需要金融守门人。有这样一个人的话,任何商业上的投入通常都会被看做是负面的行为——几乎没有任何回旋的余地。

这看来没什么眼光。反而,在一个理想世界中,我们知道互联网会变成什么样子,而结果也许会完全不同。而在理想世界中,那些哀叹加密产品变得如此货币化的开发人员和工程师在设计互联网时将会把安全放在首位,因此就消除了这个行业中出现SSL这样的技术的任何可能性。

坦率地说,我们很可能都认同那是一个更好的选择。但那样的理想事物只存在于热情鼓吹那些理想事物的人的想象之中。现实情况下,互联网的设计没有那么安全,因此才有了SSL产业。

尽管这对那些不直接与客户和终端用户打交道的人来说看上去像是一种抽象概念。但它不会改变。这就是现实。我是说,一个谷歌软件工程师对我们整个行业的看法,和一个每天与不同类型的人打交道的客户经理的看法显然是有很大区别的。

两者都没有错,只是视角不同而已。

我的观点是:那些使用这个极受欢迎的商业CA的人,他们的业务、网站和生计现在都处于危险之中。

不,我不是在说Symantec公司的人,这是一家有着数十亿美元业务量的公司,即便完全脱离SSL行业,仍然能够生存。我说的是其他数不清的在任何层面直接或间接参与SSL行业的人们,将会实实在在得受到伤害。

我说的是那些可能不得不丢掉所面临着的数不清的一切调查或需要重新整合的IT服务提供商。还有购买了高级安全服务而对Symantec的问题毫无察觉的小企业主将承受这些损失,而且他们必须要寻找到替代的方案。还有那些大型企业,将任何新的SSL完全部署到他们的环境中需要花费六个月的时间。还有那些网站所有者,必须弄清楚怎样对他们此前一无所知的东西进行导航。曾几何时被科普说在登录网银账户时要在URL中寻找EV标志以降低被钓鱼的风险,现在连那个标识都不靠谱。呵!得了,别用网银了,钱都藏床底下了事吧!

原来,那些仍应受绝对信任的网站也可能面临不信任的危机。

尽管这未必会使大部分公司和机构的业务受到影响,但该提议除了对一般互联网用户产生蝴蝶效应外,无疑还将导致金钱和其他宝贵资源的损失。公司不喜欢金钱损失。他们也不喜欢浪费时间和人力资源,特别是在已经恰当处理了所有事情的情况下。

更重要的是,这一举动可能是在一个不恰当的时间破坏了公众对SSL和加密方法的信任。浏览器正迅速向授权加密转变,这已经不是秘密。有趣的是,这种转变是在2014年谷歌Chrome团队宣布SSL在其算法中成为一项排名时开始的。最近,在推动网站向“终端到终端”加密进行转变的过程中,最明显的就是加入了“安全”/“不安全”的可见标识。

因此,对很多个人网站所有者来说,像大量不幸的企业和机构一样,这可能是他们第一次的SSL/TLS经历。Symantec历史性地享有了“世界第一”的声誉。你无法指责任何选择Symantec产品的人,特别是考虑到这些客户中的大部分并未参与CA/浏览器论坛或谷歌、Mozilla与Symantec之间的拉锯战。

对很多人来说,这意味着他们在这一新安全措施(实际上没有选择)的第一次经历中存在阴影。他们花费很大价钱从一家知名的企业购买产品,然后该产品不仅无法达到他们的期望,而且可能会导致他们损失掉相当的金钱。

记住,这些人不是软件工程师和安全专家,他们是业务人员,可能没有耐心去看那些冗长的、带有很多技术细节的关于所发生情况的描述。他们会尽可能简化——他们在生意上经常会这么做。

他们对这件事的看法可能有三种:第一,他们无疑会责怪Symantec。第二,他们会责怪谷歌。尽管做了最大努力,但谷歌无法在此次事件中置身度外。

最后,那些因此次提议而受到负面影响的人们将重新评价SSL。他们的结论很可能不是我们喜欢的。不论人们开始认为SSL是一场骗局,还是不相信这项技术能够进步——在这项提议中,没有什么内容有助于改善人们对SSL的态度。

尽管对那些完全了解情况的人来说,这只是一场关于验证实践、策略和可靠性等具体问题的争论,但对于普通人来说,这看起来就像谷歌和Symantec两家大公司为一种产品大打出手,而且殃及无辜的过程。

无人获胜:每个人都输了,只是程度不同。

接下来怎么办

这个问题的解决方法并不简单。一方面,Symantec必然要采取进一步的措施。公平地说,谷歌给了Symantec充分的警告和修正的机会,而Symantec显然没有做到。不管谷歌(和其他浏览器厂商)此时强制Symantec这么做是否恰当,Symantec应当对其客户负责。

但谷歌也要对使用其掌握的力量更谨慎。在很多时候,这种行为看起来不像是要求合规而更像是损害Symantec的商业利益。9个月对于证书来说是一个极不规范的有效时间,而且人们会认为这种要求将使Symantec在竞争中处于明显不利的地位。此外,通过取消EV一年,谷歌从根本上消灭了Symantec的整个EV SSL业务。Symantec的大部分现有的EV客户会选择离开,而即使可能回归,其稳定性也会大打折扣。

就算这全是Symantec的问题——而不是谷歌的。流言是可怕的,任何持阴谋者都可以毫不费力地编造出一些故事。

这两家公司需要坐在一起——考虑到他们的总部只隔着一条街,所以这不是什么难事——讨论出一个解决方案,既迫使Symantec设法解决谷歌提出的问题,同时也可以尽量减轻那些在SSL行业中没有多少发言权的人们面临的困难。你知道,我指的是那些使用并依赖SSL进行日常业务的人们。现在不需要装腔作势,或者说不需要坚持原则,也不需要争论SSL的两种哲学问题——现在是需要务实的时候了。

这场争论并不是凭空产生的。其中有实实在在的因果关系,有切实的财产面临着危险——不夸张地说,这将会影响人们的基础生计。也许Symantec并不值得谷歌这样质疑,但Symantec的客户却值得。现在是想办法补救Symantec的问题,避免给成千上万的个人、公司和机构造成不必要困难的时候了。因为他们的声音就是我们的——这项提议影响的范围太大了,令人无法忽视。

评论 抢沙发