谷歌日前正在安全群组中
就赛门铁克证书管理系统混乱问题进行讨论
,问题集中在赛门铁克内部审计的混乱。
事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书。
签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有 1 天时间。
随后谷歌反应强烈并立即向赛门铁克通报了此事,赛门铁克则是立即开除了这名雇员并开始内部的审计调查。
经过调查发现赛门铁克签发的证书除了谷歌之外还有挪威著名浏览器Opera,并还有127个相关的数字证书。
这意味着赛门铁克并没有严格的执行内部审计,随意签发数字证书会让整个互联网陷入安全危机和恐慌之中。
目前谷歌称发现的问题数字证书远远不止127个,在谷歌安全群组中讨论和透露的数据显示问题证书3万个。
(赛门铁克旗下公司签发的问题证书,目前已吊销)
谷歌目前提出的惩罚措施包括:
1、将信任赛门铁克及其子公司签发的证书时间缩短至9个月,即超过9个月的不再信任;
2、将暂停信任赛门铁克及其子公司签发的扩展验证证书1年,扩展验证即地址显示公司名称的证书;
3、赛门铁克及其子公司需要将之前签发的问题证书吊销,然后重新签发合规的证书;
请注意:上述措施只是提议还未施行,国内部分媒体所称的已经停止信任赛门铁克所有证书是谣言。
