谷歌日前正在安全群組中就賽門鐵克證書管理系統混亂問題進行讨論,問題集中在賽門鐵克内部審計的混亂。事情開始還要從2015年谷歌監測到僞造的證書時說起,當時賽門鐵克的雇員簽發了谷歌相關域名的數字證書。
簽發谷歌的數字證書意味着如果證書流傳出去則可被用于劫持谷歌,雖然這個證書的有效期僅隻有 1 天時間。
随後谷歌反應強烈并立即向賽門鐵克通報了此事,賽門鐵克則是立即開除了這名雇員并開始内部的審計調查。
經過調查發現賽門鐵克簽發的證書除了谷歌之外還有挪威著名浏覽器opera,并還有127個相關的數字證書。
這意味着賽門鐵克并沒有嚴格的執行内部審計,随意簽發數字證書會讓整個網際網路陷入安全危機和恐慌之中。
目前谷歌稱發現的問題數字證書遠遠不止27個,在谷歌安全群組中讨論和透露的資料顯示問題證書約3萬個。
32986.png
(賽門鐵克旗下公司簽發的問題證書,目前已吊銷)
谷歌目前提出的懲罰措施包括:
1、将信任賽門鐵克及其子公司簽發的證書時間縮短至9個月,即超過9個月的不再信任;
2、将暫停信任賽門鐵克及其子公司簽發的擴充驗證證書1年,擴充驗證即位址顯示公司名稱的證書;
3、賽門鐵克及其子公司需要将之前簽發的問題證書吊銷,然後重新簽發合規的證書;
請注意:上述措施隻是提議還未施行,國内部分媒體所稱的已經停止信任賽門鐵克所有證書是謠言。
賽門鐵克是如何看待谷歌的提議的?
目前賽門鐵克與谷歌雙方之間火藥味十足,賽門鐵克稱不認同谷歌提出的建議以及30000個問題證書的資料。
賽門鐵克稱該公司已經将有問題的127個數字證書吊銷或者是重新簽發,有關30000個問題證書實際為誇大。
對于有其他問題的證書賽門鐵克承諾會為使用者免費重新簽發,但對于減少證書有效期問題賽門鐵克無法接受。
賽門鐵克稱支援谷歌有關減少簽發證書的有效期的提議,但這會把整個行業的簽發的證書有效期都給縮短了。
注:縮短證書有效期通常來說可以提高安全性,因為即使證書被洩露出去未被發覺到期也會自動過期。
賽門鐵克稱該公司已經加強内部稽核和對代理公司的稽核,清退掉那些不符合安全政策的證書簽發代理公司。
最後賽門鐵克稱谷歌長期以來都在試圖消滅掉擴充驗證證書,但其他的浏覽器仍然會繼續認可擴充驗證證書。
賽門鐵克将會繼續簽發擴充驗證證書來給客戶提高信任度,同時也會繼續與谷歌和其他品牌浏覽器進行商讨。
*注:擴充驗證證書即extended validation certificate,浏覽器位址欄會詳細顯示證書所有者的公司名稱。
本文轉自d1net(轉載)
![“雲管邊端”協同的邊緣計算安全防護解決方案0 引 言1 5G 及邊緣計算2 邊緣計算面臨的風險3 “雲管邊端”安全防護技術4 “雲管邊端”安全防護實踐5 結 語[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)