赛门铁克解雇多名员工,原因是他们发布了虚假的谷歌内部测试数字证书,而且至少有一份证书被泄露到了网上。
这些证书是赛门铁克子公司Thawte在澳大利亚时间9月15日为三个域名发布的。赛门铁克并未透露域名名称,也未透露发布的测试证书数量,仅表示“数量很少”。
而Thawte据悉为google.com和www.google.com发布了扩展验证证书(EV证书)。EV证书是为站点和域名发布比标准证书范围更广泛的验证。
尽管赛门铁克表示“所有的测试证书和密钥都在掌控范围,并且发现这个问题后立即予以撤销”,但谷歌发现其中的一款数字是真实的,跟证书提供商Digicert提供的一样。
谷歌在Chrome浏览器中更新了撤销元数据,包括被滥用的证书公钥,这些公钥的有效期仅为一天。谷歌认为用户不会因虚假证书而冒风险。不过赛门铁克因此而解雇多名发布相关证书的员工。