赛门铁克证书危机时COMODO趁机“往墙角”

近期著名的证书颁发机构赛门铁克因管理系统的问题遭到调查， 谷歌公司称不排除会停止信任该公司的证书。

事情的起因还要追溯到2015年时谷歌监测到赛门铁克旗下颁发机构违规签发谷歌搜索相关主域名的数字证书。

尽管赛门铁克随后开除了私自签发该证书的雇员， 但调查后发现其雇员私自签发的证书远远不止谷歌的证书。

直到最近谷歌称问题证书的数量从最初的 127个增长到了3万个，其中包括了挪威著名浏览器 Opera 的证书。

谷歌目前提出的惩罚措施包括：

1、仅信任赛门铁克及其旗下证书颁发机构签发的有效期低于 279 天的数字证书，高于此期限的均不被信任；

2、将暂停信任赛门铁克及其旗下证书颁发机构签发的扩展验证证书1年，扩展验证即地址栏显示名称的证书；

3、赛门铁克及其旗下的证书颁发机构需要将之前所有签发的有问题的证书吊销掉并重新签发合规化的证书；

请注意：上述措施只是谷歌的提议还未施行，国内部分媒体所称的已经停止信任赛门铁克的所有证书是谣言。

Comodo正在进行挖墙脚：

同是证书颁发机构和反病毒软件厂商的Comodo目前正在联合域名注册网站推广该公司签发的各类数字证书。

Comodo日前已经上线了个赛门铁克证书替换服务，使用赛门铁克证书的网站可以免费获得Comodo的证书。

即使用赛门铁克证书的网站可在过期前免费获得同等时间的Comodo证书，并且不管什么类型的证书都可以。

例如蓝点网使用的是赛门铁克签发的通配符域名证书有效期至九月，那么Comodo也可以提供该证书至九月。

但实际上我们觉得这并没有什么意义，毕竟谷歌即使不信任证书也是不信任新签发的并不会涉及到已签发的。

因此换不换都是到赛门铁克证书的原有有效期结束，除非购买Comodo证书时直接加到1年或者1年以上时间。

如果本身在替换证书时就额外付费延长了Comodo证书的时间，那么后续倒是稍微可以减轻些替换的工作量。

惩罚的可能性有多大？

赛门铁克毕竟不是 360 旗下的证书签发机构沃通，目前赛门铁克就已经火药味十足的炮轰谷歌及其调查结果。

沃通最终是认可由于管理系统问题导致的错误因此接受惩罚，但赛门铁克对谷歌的调查却是是完全不认同的。

首先赛门铁克并不认同谷歌调查所称的问题证书达到3万份，其次也不认同谷歌停止信任 EV 扩展验证的做法。

通常情况下谷歌的停止信任也会让诸如Mozilla、微软以及苹果等加入不信任队伍，这个影响将会相当相当大。

赛门铁克自然不会允许出现这样的事情，因此自三月份以来该公司就已经在联系谷歌公司进行磋商解决问题。

最终的惩罚措施可能只是处理掉问题证书并将证书有效期缩短，停止信任什么的发生的概率可能性实在太小。

因此使用赛门铁克签发证书的网站也无需担心，最坏的结果也只是到期前续期或者更换其他的签发机构而已。

对于已经签发的证书谷歌以及Mozilla等肯定是不会停止信任的， 因此当前无论是申请还是续期也没啥问题。