Google 正在考虑对赛门铁克及其证书经销商多次重复不正确地发出 SSL
证书的事件进行严厉的处罚,拟议的计划是强制该公司更换其所有客户的证书,并停止识别拥有该证书的扩展验证(EV)状态。如果
Google 的计划付诸实施,数百万的现有 Symantec 证书将在未来12个月内在
Google Chrome 中不受信任。

谷歌Chrome工程师 Ryan
Sleevi昨日宣布,伴随着赛门铁克最近及以前发布的一系列错误证书,谷歌不再信任赛门铁克过去几年的证书颁发政策,计划逐步降低对其证书的信任,对其新颁发证书的可接受有效期限制在9个月以内,并停止展示其EV
SSL证书绿色地址栏等验证状态。

澳门新葡萄京所有网站 1

澳门新葡萄京所有网站 2

背景

上周五,谷歌和赛门铁克促成了一项提议,将允许赛门铁克在一定条件下继续颁发SSL证书。这是继今年年初被发现违规误发证书和被谷歌提出取消信任之后,赛门铁克与谷歌的第一次正式协商方案。

SSL / TLS 证书是用于加密浏览器和支持 HTTPS
网站之间的连接,并验证用户是否真正访问他们打算使用的网站,避免欺诈网站。这些证书由被认为是浏览器和操作系统默认信任的证书颁发机构颁发,颁发和管理证书的过程由
CA/Browser
Forum(成员包括浏览器供应商和证书颁发机构)创建的规则管理。当这些规则被违背时,浏览器和操作系统供应商可以撤销对违规证书的信任,并对负责的证书颁发机构进行制裁,以便将其从其根证书存储区踢出。

自1月19日开始,Google
Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误,这导致谷歌对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。 

谷歌和赛门铁克都指出,提议中的一些具体细节可能会改变,但是他们趋近于“一个解决安全风险和减轻中断的良好平衡的提案”。

Google
认为,对最近发生的事件进行调查发现,赛门铁克并未做好认证机构的安全监督工作,例如验证域控制、审核日志以证明未经授权的发行,去尽量减少颁发欺诈证书。

谷歌指出,赛门铁克未能确保正确的域名验证,对于申请特殊域名SSL证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此,谷歌认为赛门铁克没有足够的监督能力。 

之前的谷歌提案涉及到对赛门铁克证书的一系列复杂的限制,以及对现有证书的分级不信任。这将使赛门铁克及其客户陷入棘手的境地,因为赛门铁克将不得像与其他CA一样提供相应的服务。

赛门铁克由于多年来的收购,现已控制了几个以前独立的认证机构的根证书,包括
VeriSign、GeoTrust、Thawte 和
RapidSSL,使其成为世界上最大的商业证书颁发机构。Google
的这项行动将给赛门铁克带来巨大的压力,因为公司必须与所有客户联系,重新验证其身份和所有权,并将其现有证书替换为新的证书,而且有可能要全部免费更换,有些公司甚至在短时间内更换证书还会出现问题。除此之外,赛门铁克可能必须给支付
EV 证书的客户退款,因为它们将不再被 Chrome 认可,失去了价值。

这已经不是谷歌第一次警告赛门铁克错误签发证书的问题:

根据新提案,赛门铁克将与其他CA合作,继续发行证书,同时重新启动自己的业务。执行此计划所需的大部分工作将由赛门铁克本身进行。用户将看到相对较少的更改,并且可以获得对他们没有任何限制的新证书。

可以肯定地说,Google 的制裁会对赛门铁克的 SSL
业务产生重大影响,这还是第一次浏览器供应商因行为不当对 CA
进行如此严厉且大规模的处罚。

2015年9月和10月,Google发现赛门铁克旗下的Root
CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。Google称其不能确定赛门铁克的该Root
CA签发的证书将不会被用于拦截、破坏或冒充Google产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。

对于浏览器,将新旧的赛门铁克证书与新的根证书分开是非常重要的。这使他们有能力通过技术措施来控制哪些证书是可信的,而不是那些听上去更靠谱的政策。

澳门新葡萄京所有网站 3

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的”Class
3 Public Primary CA”根证书。 

这个提议的亮点在于:

赛门铁克自然是强烈反对 Google
的计划,批评其对公司过去的误解,并用言论对用户造成“夸张和误导”。该公司在想办法尽可能减少
Google 带来的潜在伤害,打算与 Google 讨论此事并寻求共同商定的解决方案。

采取的措施

与以前的计划一样,这些操作适用于所有赛门铁克运营的CA,其中包括GeoTrust,Thawte和RapidSSL。

同时,自己管理根证书的 Mozilla
也在考虑对赛门铁克进行制裁,并可能和 Google 的行动保持一致。

谷歌将采取措施,逐步降低对赛门铁克SSL证书的信任:

从8月8日起,赛门铁克证书将需要由“托管CA”发出 –
赛门铁克与其合作的另一个认证机构。 目前还不知道谁将与赛门铁克合作。

“现在 Google 已经宣布了他们的行动,但不难发现,CA 对于两个 root stores
可能采取的是同样的方法,会存在一样的问题,因此对于同样的操作,CA
并没有被双重惩罚”,Mozilla 的 Gervase Markham
在该组织的安全政策邮件列表中写道。

1、赛门铁克新颁发的SSL证书可接受的最大有效期缩短至9个月,在Chrome
61版本生效(预计9月12日发布)。

这些证书将由现有赛门铁克根证书交叉签署,可以让信任赛门铁克的现有根源的各种传统设备的新证书受到信赖。

然而,Markham 也指出,Google
目前的计划还处于考虑阶段,回顾以往的先例和对其他 CA
制裁的反应来看,这绝对会是一个十分艰难的过程。

2、Chrome后续一系列版本,将对目前所有赛门铁克已颁发的SSL证书越来越不信任,并要求这些证书重新验证和替换。

此管理CA颁发的证书不会面临任何独特的限制。这意味着赛门铁克证书将能够按照行业标准规则颁发。他们的EV证书将继续使用绿色地址栏UI显示。

编译自:arnnet

  • Chrome 59(Dev,Beta,稳定):33个月有效期(1023天)

  • Chrome 60(Dev,Beta,稳定):27个月有效期(837天)

  • Chrome 61(Dev,Beta,稳定):21个月有效期(651天)

  • Chrome 62(Dev,Beta,稳定):15个月有效期(465天)

  • Chrome 63(Dev,Beta):9个月有效期(279天)

  • Chrome 63(稳定):15个月有效期(465天)

  • Chrome 64(Dev,Beta,稳定):9个月有效期(279天)

2016年6月1日之前发布的现有证书(当赛门铁克证书需要遵守Chrome的证书透明度政策时)需要更换。
Chrome将在8月份的两个阶段(Chrome 62的发行版)中不信任这些证书。

(文/开源中国)    

3、  立即删除赛门铁克EV
SSL证书的扩展验证标识(如绿色地址栏、状态栏显示组织名称等),不少于1年,直至确信赛门铁克的颁发政策和做法值得放心。

2016年6月1日以后发行的现有证书不受影响。这些证书的所有者不需要重新验证/重新发行,或看到有效期的任何减少。
EV证书将继续拥有EV UI。

目前其他浏览器暂时没有做出回应。

尽管如此,赛门铁克还将向谷歌和社区提供审计和报告,以显示其修复导致其违规的错误的进度。他们还将努力向根程序提交新的根证书,以便在技术上可行的方式再次开始验证和颁发证书。

消息来源:bleepingcomputer

赛门铁克的合作伙伴CA将继续处理发行和验证,直到赛门铁克的新根证书被接受到信托商店。对于任何一家公司来说,这都不算什么,包括经验丰富的CA。虽然一些根源程序(如Mozilla)是透明和有据可查的,但其他(比方说苹果)就像城市传说一样,可以花更长的时间来处理。

(文/开源中国)    

赛门铁克可能需要两年或更长时间才能将所有内容重新置于内部。但与此同时,他们的客户将继续能够购买和使用证书,而且没有复杂或不方便的限制。

再次注意,这还不是一个最终的计划。虽然这个过程看起来很艰巨,但考虑到赛门铁克业务的规模是有道理的。赛门铁克星期五表示,“仔细审查这项建议,并将尽快回应社区的意见反馈。”我们预计将尽快进行最后的调整,届时我们将发布有关即将发生的变更和行动的更多细节赛门铁克证书用户需要做好准备。

Mozilla与谷歌类似:它提出了一个仍然需要进行微调的计划。
它与谷歌非常相似,其中一个主要区别是赛门铁克证书将限于400天的有效期。
Mozilla也在辩论这样的想法,即在新的PKI启动时,赛门铁克需要外包CA的职责。
Mozilla意识到赛门铁克将不得不遵循所有根目录中最严格的规则,因此Mozilla正试图将其计划与谷歌的相提并论。

同行业的规范一样,微软和苹果都表示很少,也没有公开声明他们将要做什么。
历史上,他们的根程序更宽松,因此在确定对用户的影响时不太重要。