谷歌宣布逐步降低对赛门铁克 SSL 证书的信任
北阙 2017年03月24日

谷歌宣布逐步降低对赛门铁克 SSL 证书的信任

北阙 北阙 发布于2017年03月24日 收藏 10 评论 24

谷歌Chrome工程师 Ryan Sleevi昨日宣布,伴随着赛门铁克最近及以前发布的一系列错误证书,谷歌不再信任赛门铁克过去几年的证书颁发政策,计划逐步降低对其证书的信任,对其新颁发证书的可接受有效期限制在9个月以内,并停止展示其EV SSL证书绿色地址栏等验证状态。

背景

自1月19日开始,Google Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误,这导致谷歌对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。 

谷歌指出,赛门铁克未能确保正确的域名验证,对于申请特殊域名SSL证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此,谷歌认为赛门铁克没有足够的监督能力。 

这已经不是谷歌第一次警告赛门铁克错误签发证书的问题:

2015年9月和10月,Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。Google称其不能确定赛门铁克的该Root CA签发的证书将不会被用于拦截、破坏或冒充Google产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。 

采取的措施

谷歌将采取措施,逐步降低对赛门铁克SSL证书的信任:

1、赛门铁克新颁发的SSL证书可接受的最大有效期缩短至9个月,在Chrome 61版本生效(预计9月12日发布)。

2、Chrome后续一系列版本,将对目前所有赛门铁克已颁发的SSL证书越来越不信任,并要求这些证书重新验证和替换。

  • Chrome 59(Dev,Beta,稳定):33个月有效期(1023天)

  • Chrome 60(Dev,Beta,稳定):27个月有效期(837天)

  • Chrome 61(Dev,Beta,稳定):21个月有效期(651天)

  • Chrome 62(Dev,Beta,稳定):15个月有效期(465天)

  • Chrome 63(Dev,Beta):9个月有效期(279天)

  • Chrome 63(稳定):15个月有效期(465天)

  • Chrome 64(Dev,Beta,稳定):9个月有效期(279天)

3、  立即删除赛门铁克EV SSL证书的扩展验证标识(如绿色地址栏、状态栏显示组织名称等),不少于1年,直至确信赛门铁克的颁发政策和做法值得放心。

目前其他浏览器暂时没有做出回应。

消息来源:bleepingcomputer

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:谷歌宣布逐步降低对赛门铁克 SSL 证书的信任
分享
评论(24)
精彩评论
11
狗哥:因为赛门铁克跟中国厂商合作推出免费证书,不符合人类希望的国家利益,所以必须封杀。
“不作恶”的狗哥处处作恶,呵呵。
妈蛋,之前用沃通免费证书,你不信任了,我改用腾讯联合赛门铁克的免费证书,你又要开始不信任了,let's encrypt的有效期太短了,有种Google你自己推出免费的证书啊
3
牛B了歪,想杀谁就杀谁
3
貌似现在阿里云关联提供的就是Symantec免费的DV SSL证书
1

引用来自“Minho”的评论

国内的沃通免费,谷歌封杀了。赛门铁克免费又被谷歌封杀。谷歌是专门针对我天朝吗?
@Minho 伪造证书就可以实现奇怪的中间人攻击,用于不可明说的目的,所以国家应当是知道和利用过的。没办法,我们是大政府。
最新评论
0
您还别说,谷歌已经宣布自建CA了,收购了某个CA的根,某些公司总是打着为网民的权益为自己某利益,并且谷歌还宣传可以随意的无理由的不信任任何一家CA,真是米国强权的先头部队。@你是红薯派来的逗逼吗
0
有理有据的封杀,不是应该支持嘛?
1

引用来自“Minho”的评论

国内的沃通免费,谷歌封杀了。赛门铁克免费又被谷歌封杀。谷歌是专门针对我天朝吗?
@Minho 伪造证书就可以实现奇怪的中间人攻击,用于不可明说的目的,所以国家应当是知道和利用过的。没办法,我们是大政府。
1

引用来自“Minho”的评论

国内的沃通免费,谷歌封杀了。赛门铁克免费又被谷歌封杀。谷歌是专门针对我天朝吗?
@Minho 不是针对,是这些机构曾非法签发过证书,用于奇怪的目的甚至有一家还伪造了 Google 的证书
0
看了评论,一群无脑的人
0

引用来自“你是红薯派来的逗逼吗”的评论

妈蛋,之前用沃通免费证书,你不信任了,我改用腾讯联合赛门铁克的免费证书,你又要开始不信任了,let's encrypt的有效期太短了,有种Google你自己推出免费的证书啊
目前还是let's encrypt吧,虽然短,但还是有自动续证的工具啊
0

引用来自“你是红薯派来的逗逼吗”的评论

妈蛋,之前用沃通免费证书,你不信任了,我改用腾讯联合赛门铁克的免费证书,你又要开始不信任了,let's encrypt的有效期太短了,有种Google你自己推出免费的证书啊
let's encrypt官方教程里给的方法就是自动续签脚本,期限短并没有关系,反正自动续签嘛。这也是为了安全着想,毕竟免费就有可能会被滥用,万一发现了用于恶意目的的证书可以随时掐掉,这样短期内就会失效。
0
都是美国公司,掐死一个算一个,可以试试digicert https://www.sslzhengshu.com/brand/digicert.html
0
吊的不行,逗逼
1

引用来自“风华神使”的评论

Google 应该自己建立一个证书颁发机构

引用来自“walkghost163”的评论

它已经建了 https://my.oschina.net/walkghost/blog/839740:alien:
@walkghost163 美国企业都喜欢以全球卫士自居,无论是美国政府还是苹果微软google
1
google过段时间再说市面上免费证书都不安全,不值得信任,然后举出这些例子,最后推出自己免费证书。而且不是google想自己搞啊,是因为你们都不靠谱,我没办法才为了网络安全着想出的。 ——google常用套路
0

引用来自“Minho”的评论

国内的沃通免费,谷歌封杀了。赛门铁克免费又被谷歌封杀。谷歌是专门针对我天朝吗?
因为免费,所以很多劣质机构和骗子就会申请。证书收费又不利于 https 的普及。暂时还没有折衷的好办法
0
国内的沃通免费,谷歌封杀了。赛门铁克免费又被谷歌封杀。谷歌是专门针对我天朝吗?
4
妈蛋,之前用沃通免费证书,你不信任了,我改用腾讯联合赛门铁克的免费证书,你又要开始不信任了,let's encrypt的有效期太短了,有种Google你自己推出免费的证书啊
0
这就是浏览器的强大,想搞谁就搞谁.
11
狗哥:因为赛门铁克跟中国厂商合作推出免费证书,不符合人类希望的国家利益,所以必须封杀。
“不作恶”的狗哥处处作恶,呵呵。
0
Google想把全球的免费证书机构全部杀死吗?
0
杀一儆百...
0

引用来自“风华神使”的评论

Google 应该自己建立一个证书颁发机构
它已经建了 https://my.oschina.net/walkghost/blog/839740:alien:
0
Google 应该自己建立一个证书颁发机构
顶部