谷歌日前正在安全群组中就赛门铁克证书管理系统混乱问题进行讨论,问题集中在赛门铁克内部审计的混乱。
事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书。
签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有 1 天时间。
随后谷歌反应强烈并立即向赛门铁克通报了此事,赛门铁克则是立即开除了这名雇员并开始内部的审计调查。
经过调查发现赛门铁克签发的证书除了谷歌之外还有挪威著名浏览器Opera,并还有127个相关的数字证书。
这意味着赛门铁克并没有严格的执行内部审计,随意签发数字证书会让整个互联网陷入安全危机和恐慌之中。
目前谷歌称发现的问题数字证书远远不止127个,在谷歌安全群组中讨论和透露的数据显示问题证书3万个。
(赛门铁克旗下公司签发的问题证书,目前已吊销)
谷歌目前提出的惩罚措施包括:
1、将信任赛门铁克及其子公司签发的证书时间缩短至9个月,即超过9个月的不再信任;
2、将暂停信任赛门铁克及其子公司签发的扩展验证证书1年,扩展验证即地址显示公司名称的证书;
3、赛门铁克及其子公司需要将之前签发的问题证书吊销,然后重新签发合规的证书;
请注意:上述措施只是提议还未施行,国内部分媒体所称的已经停止信任赛门铁克所有证书是谣言。
赛门铁克是如何看待谷歌的提议的?
目前赛门铁克与谷歌双方之间火药味十足,赛门铁克称不认同谷歌提出的建议以及30000个问题证书的数据。
赛门铁克称该公司已经将有问题的127个数字证书吊销或者是重新签发,有关30000个问题证书实际为夸大。
对于有其他问题的证书赛门铁克承诺会为用户免费重新签发,但对于减少证书有效期问题赛门铁克无法接受。
赛门铁克称支持谷歌有关减少签发证书的有效期的提议,但这会把整个行业的签发的证书有效期都给缩短了。
注:缩短证书有效期通常来说可以提高安全性,因为即使证书被泄露出去未被发觉到期也会自动过期。
赛门铁克称该公司已经加强内部审核和对代理公司的审核,清退掉那些不符合安全政策的证书签发代理公司。
最后赛门铁克称谷歌长期以来都在试图消灭掉扩展验证证书,但其他的浏览器仍然会继续认可扩展验证证书。
赛门铁克将会继续签发扩展验证证书来给客户提高信任度,同时也会继续与谷歌和其他品牌浏览器进行商讨。
*注:扩展验证证书即Extended Validation Certificate,浏览器地址栏会详细显示证书所有者的公司名称。