摘要
近日,Google Chrome工程师在开发者邮件列表上宣布,计划开始减少对赛门铁克 TLS证书的信任,到2018年初完成,Chrome 64将赛门铁克证书的信任期缩短至279天(约九个月)或更短时间。
Google Chrome团队的软件工程师Ryan Sleevi表示,自今年1月19日开始,Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。
Sleevi称他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:对赛门铁克新签发证书接受的有效期减少到9个月或更少;通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;移除对赛门铁克所签发证书的Extended Validatio状态的认可。
Sleevi还称,他们发现赛门铁克公司允许至少四个第三方访问它的基础设施,甚至允许它们签发证书。此外赛门铁克公司此前发布的证书也存在很多错误,这导致我们对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。
Sleevi指出,由于赛门铁克提供超过30%的所有证书,如果立即颁布禁令将不现实,因此信任度会逐渐减少。
“由于他们收购了一些顶尖的CA(认证机构),例如Thawte,Verisign和Equifax,这些CA获得了最广泛的支持。所以赛门铁克颁发的这些证书风险性就非常高了。”Sleevi说。“由于需要确保站点运营商使用的CA在这些设备上被识别,所以不信任这样的CA对于提供旧设备和新设备的安全连接造成了进一步的困难。“谷歌并没有采取单方面的行动来防范赛门铁克,因为如果只有一个浏览器不信任CA,用户将其视为浏览器问题。”
Sleevi还说:“我们希望这个建议可以被视为适当平衡安全性和兼容性风险与现场运营商,浏览器和用户的需求,我们欢迎所有的反馈。”
赛门铁克的证书出现问题并非现在才发生,早在一年多以前就发生过。
2015年9月和10月,Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。赛门铁克随后表示,它解雇了相关雇员,并展开了内部审查,发现了其雇员还为23个域名颁发了测试证书,其中包括Google和Opera。
Google认为,赛门铁克内部审计并不彻底,它花了几分钟就从 Certificate Transparency日志里发现了更多有问题的证书。赛门铁克随后证实,它发现了76个域名的164个问题证书,2456个未注册域名证书。Google批评赛门铁克连内部审计都做不好。它要求从2016年6月1日起,赛门铁克颁发的所有证书都必须支持Certificate Transparency,不支持的赛门铁克新颁发证书可能会在使用Google产品时出现问题。Google要求赛门铁克更新他们的报告,详细解释如何采取措施阻止类似事件发生。
12月15日,Google在其官方博客上宣布,其旗下Google Chrome浏览器、Android系统以及其他的Google产品,都将不再信任由赛门铁克旗下Thawte CA颁发的Class 3 Public Primary CA根证书。
Google在博客中还透露与赛门铁克交涉的结果:赛门铁克似乎并不愿意更换该证书,而Google称该证书已经不能保证用户的安全。结果就是Google将不再信任该证书,赛门铁克则称如果客户遇到了被拦截的情况可以联系他们来妥善处理。
2017年3月16日起,赛门铁克正式更改了其证书验证程序。赛门铁克新的证书验证程序主要影响的是SSL的DV类证书,但也会对OV和EV类证书产生少量影响。做出这些改变,是为了遵守即将生效的CAB论坛169号、181号决议。
面对Google的强势,赛门铁克也不得不服软,该怎么办就得怎么办!
