近日,Google Chrome工程师在开发者邮件列表上宣布,计划开始减少对赛门铁克 SSL/TLS 证书的信任,到2018年初完成,Chrome 64 将赛门铁克证书的信任期缩短至279天(约九个月)或更短时间。
Google Chrome 团队的软件工程师Ryan Sleevi表示,Google Chrome小组于1月19日开始调查,发现赛门铁克过去几年的证书颁发政策和做法不厚道,可能威胁到通过互联网认证和保护数据和连接的TLS系统的完整性。随着调查的深入,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。其中包括,2015年9月和10月,Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。赛门铁克随后表示,它解雇了相关雇员,并展开了内部审查,发现了其雇员还为23个域名颁发了测试证书,其中包括Google和Opera。
Google Chrome团队的软件工程师Ryan Sleevi表示他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:
1、对赛门铁克新签发证书接受的有效期减少到9个月或更少;
2、通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;
3、立即移除对赛门铁克所签发证书的Extended Validation状态的认可。
赛门铁克拥有的证书颁发机构颁发的所有证书的扩展验证(EV)状态将不再被Chrome浏览器识别至少一年,直到Symantec修复其证书审核验证颁发过程,以便再次被信任。扩展验证证书应提供最高级别的信任和身份验证,浏览器地址栏会详细显示证书所有者的公司名称,在颁发证书之前,证书颁发机构必须验证请求实体的合法存在和身份。
除此以外,还会通过在各种Chrome最新版本”中逐渐降低赛门铁克证书的最长期限,以要求他们重新发布和重新验证。
具体的安排时间如下:
Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)
Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)
Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)
Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)
Chrome 63 (Dev, Beta): 9 months validity (279 days)
Chrome 63 (Stable): 15 months validity (465 days)
Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days)
这意味着,预计将在2018年初推出的Chrome 64,只会信任有效期九个月(279天)或更短的Symantec证书。
Google 认为,这一举措将确保网络开发人员意识到未来赛门铁克颁发的证书的可能存在的风险,同时也给予他们“继续使用此类证书的灵活性”。
Sleevi指出,由于赛门铁克提供了互联网上超过30%的证书,如果不是考虑到大规模瘫痪网络的风险,Chrome 应该一夜间吊销所有赛门铁克证书。赛门铁克收购了一些顶尖的CA(认证机构),例如Thawte,Verisign和Equifax,这些CA获得了最广泛的支持。所以赛门铁克颁发的这些证书风险性就非常高了。”
Sleevi说。“由于需要确保站点运营商使用的CA在这些设备上被识别,所以不信任这样的CA对于提供旧设备和新设备的安全连接造成了进一步的困难。“谷歌并没有采取单方面的行动来防范赛门铁克,因为如果只有一个浏览器不信任某个CA机构,那么用户只会将其视为浏览器问题。”
Google 认为,赛门铁克内部审计并不彻底,它花了几分钟就从 Certificate Transparency日志里发现了更多有问题的证书。赛门铁克随后证实,它发现了76个域名的164个问题证书,2456个未注册域名证书。Google批评赛门铁克连内部审计都做不好。它要求从2016年6月1日起,赛门铁克颁发的所有证书都必须支持Certificate Transparency,不支持的赛门铁克新颁发证书可能会在使用Google产品时出现问题。Google 要求赛门铁克更新他们的报告,详细解释如何采取措施阻止类似事件发生。
赛门铁克通过博客回应,称Google声称其发出的30,000张SSL证书“夸大其词且具有误导性”:”Google指的是127个证书 – 不包括30,000个证书 – 被认定为误发,且这些证书并没有伤害到消费者的利益。 我们采取了广泛的补救措施来纠正这种情况,立即终止参与合作伙伴的任命为注册机构(RA),并且为了加强赛门铁克颁发的SSL / TLS证书的信任,宣布停止我们的RA计划。 虽然所有主要的CA都经历了SSL / TLS证书错误发布事件,但Google偏偏这次挑中Symantec认证机构杀鸡儆猴,未免过于刻薄,更何况Google博客中发现的错误发布事件涉及到多个CA。“
Monday, March 27, 2017
转载请注明:百蔬君 » Google 降低 Symantec SSL 证书的信任等级