Google Chrome浏览器的开发者
宣布了一项计划,该计划将逐步淘汰对旧Symantec SSL证书的信任和重新发行,取消EV状态以及将未来证书的有效期缩短至9个月以下。 这是对未经所有者许可而颁发的证书事件进行调查的结果,以及公司的现行做法。
Google的调查从2017年1月到2017年3月持续了两个月。 持续时间越长,对赛门铁克提出的问题就越多,并显示出证书颁发方面的违规行为。 赛门铁克任意为Google,Opera和其他几个组织的域颁发证书
的2015年历史尚未被抹去。
然后,赛门铁克解释了其措施如下:“在测试过程中,少量测试证书被错误地颁发给内部使用。 所有这些测试证书和密钥一直都在我们的控制之下,当我们得知此问题后立即将其吊销。 对任何域都没有影响,对互联网也没有危险。” 违反政策并实施事件的员工被解雇。
但是,
审计发现,在所有者不知情的情况下,已发行的现有域名有187个证书,而不存在的域名有2458个证书。
事发后,很明显赛门铁克在安全性方面非常差。 Google要求采取多种措施,包括使用“
证书透明性”框架支持所有新证书,进行额外的审核,发布事件报告以及聘请独立审核员。
自上次事件以来已经过去了一年多的时间-现在Google再次回到有罪的Symantec证书颁发机构,以检查其是否符合Chrome浏览器中的
根证书策略 。
从一开始,就很明显公司的情况并没有太大改善。 在调查开始时,考虑了最初的127份证书,但是鉴于发现的违规情况,该证书在几年内被扩展为30,000份。
Google将调查结果表述为:“过去几年,我们不再对颁发Symantec证书的规则和做法充满信心。 为了恢复用户的信心和安全性,我们提供以下步骤:
- 将新发行的Symantec证书的公认有效期减少到9个月或更短,以最大程度地减少可能发生的任何不正确的发行对Google Chrome用户的影响。
- 逐渐拒绝接受涵盖多个版本的Google Chrome浏览器的所有先前发行的Symantec证书,需要重新确认和替换。
- 拒绝认可Symantec发行的证书的EV(扩展验证)的状态,直到社区对Symantec的规则和实践充满信心为止,但不得早于1年。
建议逐步减少新签发的Symantec证书的认可有效期,具体方法如下:
- Chrome 59(开发版,测试版,稳定版):33个月(1023天)
- Chrome 60(开发,测试版,稳定版):27个月(837天)
- Chrome 61(开发版,测试版,稳定版):21个月(651天)
- Chrome 62(Dev,Beta,稳定版):15个月(465天)
- Chrome 63(开发版,测试版):9个月(279天)
- Chrome 63(稳定版):15个月(465天)-此版本在圣诞节假期期间推出,许多公司在周末
- Chrome 64(开发版,测试版,稳定版):9个月(279天)
谷歌认为,这些措施“将确保赛门铁克证书的保证水平符合谷歌浏览器和生态系统的期望,并尽可能减少过去和将来可能发生的违规风险。”
您需要了解Symantec是Internet上最大的证书颁发机构之一。 因此,在2015年1月,这些中心精确地发布了超过30%的Web证书。 没错,此后发生了重大变化。 现在,领导者是Comodo,占42.7%,而赛门铁克
的份额
已降至15.4% 。
参考文献:赛门铁克根证书