google 正在考慮對賽門鐵克及其證書經銷商多次重複不正确地發出 ssl 證書的事件進行嚴厲的處罰,拟議的計劃是強制該公司更換其所有客戶的證書,并停止識别擁有該證書的擴充驗證(ev)狀态。如果 google 的計劃付諸實施,數百萬的現有 symantec 證書将在未來12個月内在 google chrome 中不受信任。
ssl / tls 證書是用于加密浏覽器和支援 https 網站之間的連接配接,并驗證使用者是否真正通路他們打算使用的網站,避免欺詐網站。這些證書由被認為是浏覽器和作業系統預設信任的證書頒發機構頒發,頒發和管理證書的過程由 ca/browser forum(成員包括浏覽器供應商和證書頒發機構)建立的規則管理。當這些規則被違背時,浏覽器和作業系統供應商可以撤銷對違規證書的信任,并對負責的證書頒發機構進行制裁,以便将其從其根證書存儲區踢出。
google 認為,對最近發生的事件進行調查發現,賽門鐵克并未做好認證機構的安全監督工作,例如驗證域控制、稽核日志以證明未經授權的發行,去盡量減少頒發欺詐證書。
賽門鐵克由于多年來的收購,現已控制了幾個以前獨立的認證機構的根證書,包括 verisign、geotrust、thawte 和 rapidssl,使其成為世界上最大的商業證書頒發機構。google 的這項行動将給賽門鐵克帶來巨大的壓力,因為公司必須與所有客戶聯系,重新驗證其身份和所有權,并将其現有證書替換為新的證書,而且有可能要全部免費更換,有些公司甚至在短時間内更換證書還會出現問題。除此之外,賽門鐵克可能必須給支付 ev 證書的客戶退款,因為它們将不再被 chrome 認可,失去了價值。
可以肯定地說,google 的制裁會對賽門鐵克的 ssl 業務産生重大影響,這還是第一次浏覽器供應商因行為不當對 ca 進行如此嚴厲且大規模的處罰。
賽門鐵克自然是強烈反對 google 的計劃,批評其對公司過去的誤解,并用言論對使用者造成“誇張和誤導”。該公司在想辦法盡可能減少 google 帶來的潛在傷害,打算與 google 讨論此事并尋求共同商定的解決方案。
同時,自己管理根證書的 mozilla 也在考慮對賽門鐵克進行制裁,并可能和 google 的行動保持一緻。
“現在 google 已經宣布了他們的行動,但不難發現,ca 對于兩個 root stores 可能采取的是同樣的方法,會存在一樣的問題,是以對于同樣的操作,ca 并沒有被雙重懲罰”,mozilla 的 gervase markham 在該組織的安全政策郵件清單中寫道。
然而,markham 也指出,google 目前的計劃還處于考慮階段,回顧以往的先例和對其他 ca 制裁的反應來看,這絕對會是一個十分艱難的過程。
![nmap –script 使用:nmap-vulners 和 vulscan出現錯誤 ‘/usr/bin/../share/nmap/scripts/vulscan’ found, but will[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)