聚焦源代码安全,网罗国内外最新资讯!
翻译:360代码卫士团队
如果用户登录带有赛门铁克证书颁发机构信任印章的页面时,Mozilla 浏览器会发出安全警告信息。
这项新策略已在火狐 Nightly 63 版本中推出,将在9月初进入测试版。从火狐发布的日历来看,稳定版将在10月23日发布。
谷歌也在7月20日发布的 Chrome 70 Canary 中做出了同样的选择。对所有由赛门铁克签名的证书的不安全呢连接警告信息将迁移至9月13日发布的测试版,而且也应该会出现在10月16日发布的稳定版中。
主流浏览器仍然需要更新证书
浏览器厂商是在针对赛门铁克发布证书实践的联合调查之后决定取消对赛门铁克颁发的所有 TLS 证书的信任。这一做法影响了所有受赛门铁克证书颁发机构保护的实体,包括 GeoTrust、Thawte以及 RapidSSL。
依靠以上提供商证书的网站管理员应该替换掉这些证书。火狐 Nightly 已公布漏洞报告,公布了仍然运行和赛门铁克证书颁发机构相关的证书的网站。榜上有名的著名公司包括索尼 PlayStation Store、海军联邦信用合作社的网上银行页面、宾夕法尼亚州第一国民银行的网上银行、爱沙尼亚 LHV 银行、加拿大电信自由、La Banque Populaire Val de France、南非第一国民银行和英特尔网站(日本)。
逐渐不受信任
谷歌和 Mozilla 公司的工程师发现赛门铁克证书颁发机构并不总是遵守行业规定颁发 TLS 证书。未按规定颁发的证书总数达到3万个。
取消对赛门铁克颁发的所有证书的信任是三步进程的最后一步。第一步是取消赛门铁克的根证书颁发机构地位,降级为子证书颁发机构。第二步正在进行当中,主要是体现在火狐和 Chrome 浏览器的稳定版本中,对由赛门铁克证书颁发机构在2016年6月1日前发布的证书显示不受信任连接错误。
归顺 DigiCert 得人心
赛门铁克火速探索了将证书业务直接出售的可能性。当这种机会出现时,赛门铁克毫不犹豫地抓住了。10月31日,DigiCert 宣布称已完成对赛门铁克 Website Security 和 PKI 解决方案的收购。
这项收购案似乎赢得了所有人的欢心:
赛门铁克摆脱了浏览器厂商的问题,最终获得9.5亿美元以及30%的 DigiCert 股权
拥有不受火狐和谷歌信任的证书的消费者获得无成本的新证书(他们只需按照 DigiCert 提供的替换指南操作即可)
浏览器厂商解决了问题并未其它试图违反行规的根证书颁发机构发出警告
DigiCert 通过增加更多客户的手段提升了低危,从 TLS 证书机构排名第六上升至第三
关联阅读
原文链接
https://www.bleepingcomputer.com/news/security/firefox-nightly-distrusts-all-symantec-tls-certs/
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。