不想背锅的
浏览器
今天突然有个新闻火了,大概的意思是,Google translate 的手机版 App 可以在天朝流畅使用,不必去科学上网了~
来自网易的新闻
关于这件事,各大媒体众说纷纭,差评君想说,都是幻觉,下个版本的更新日志没准会变成 “ 我们修复了一个可能导致中国用户正常访问的 Bug ”。。。
除去这个事,最近 Google 还发生了另一件事,不知道各位差友有没有关注?
Google 宣布逐步降低对铁门塞克所签发证书的信任
Google 大家都了解,但肯定会有差友会问,赛门铁克是什么鬼?
赛门铁克是一家世界领先的信息安全解决方案提供商,主要为个人,企业提供互联网安全解决方案。
赛门铁克的 Logo
如果还是不理解的话,可以把它想象成天朝的360,不过他比 360 在世界领域内出名了很多~
市值近 200 亿
赛门铁克在大众眼里,最出名的应该是杀毒软件了,就是大名鼎鼎的诺顿~
诺顿
总之,就是一个叼到不行的互联网信息安全公司,结果,现在 Google 突然蹦出来说他们家证书不安全。。。
那么问题来了,啥是证书?
互联网时代,大家都通过网络联系,谁都不认识谁,为了确保安全,要验证一下对方的身份,才敢安心的跟他交流信息不是?
举个例子,A 想去 B 银行的网银网站去做一笔交易,但是 A 没法知道他现在登陆的网站到底是不是真正的 B 网站,万一是个钓鱼网站,那就惨了。。。
为了解决这种尴尬的境情况,CA证书诞生了~
百度的 CA 证书
CA证书是个解释起来很麻烦的东西,差评君下面举个栗子~
A 是一名黑帮成员,奉命去另一个黑帮 B 进行交易,见面之后,B 需要验证一下 A 到底是不是 A 本人,万一是警察的卧底就操蛋了啊!
这时候,就需要一个见多识广的江湖大佬 C 站出来了,C 见过各方面势力,也很有名望,大家都心服口服,A 出发之前,先会去找 C 拿个信物,同时 C 会把信物是什么告诉给 B,A 和 B 见面之后,A 拿出 C 给的信物,B 就知道这个 A 是真正的接头人,然后开始交易了~
上面这个故事里,A 就是网站,B 是使用网站的用户,C 是颁发证书的三方机构,那个信物就是 CA 证书!
CA 验证通过之后,浏览器会显示一个小绿色锁头,表示网页安全
赛门铁克作为世界知名的信息安全大佬,非常有公信力,所以就自己开了一家 CA 签发机构,专门给网站签发证书,用户看到了网站有大佬签字证明安全的证书,自然是觉得稳稳的!
这些证书是分等级的,有些是免费的,有些是商务证书,除了显示绿色小锁头,还会显示网站注册公司的名字,专防钓鱼网站。
诺顿杀入软件的官网前显示注册公司为 “ 赛门铁克 ”
像赛门铁克这种大佬,是有资格颁发这类证书的,不过,不是免费滴,总要给大佬些俸禄嘛~
而且这些证书卖的真心不便宜,安全级别最高的证书,要 10W 人民币一年。。。
有兴趣的差友可以点开看大图
反正赛门铁克老大哥就是凭着自己的公信力,卖卖证书赚点钱。。。
这时候就有人会问了,要是有大佬为了钱,乱发证书咋办???
这些厂商就在一起搞了个独立审查机制,所有 CA 证书颁发之前,都要拿出来给他家透明审查,大家都觉得没问题就能发。
这次 Google 突然蹦出来喷赛门铁克 “ 你们家证书不安全,我准备把你们家颁发的证书的网站全都标记成不安全! ”,就是因为 Google 发现赛门铁克未经过 ICANN 和一些独立审核机构同意,私自签发CA证书,而且还特么发了 3W 份!
ICANN
ICANN 是一个非营利性的国际组织,负责在全球范围内对互联网唯一标识符系统及其安全稳定的运营进行协调,包括互联网协议(IP)地址的空间分配、协议标识符的指派、通用顶级域名(gTLD)以及国家和地区顶级域名(ccTLD)系统的管理、以及根服务器系统的管理。
如果这 3W 份证书里有一些被被有用心的人利用了,去做些钓鱼网什么的,那用户妥妥的中招。。。
讲道理,这件事跟 Google 似乎没有卵关系,为什么 Google 要蹦出来撕逼呢?
因为 Google 怕背锅!!!
众所周知,Google 旗下的 Chrome 浏览器是现在 PC 端使用率最高的浏览器,毕竟 Win 自带的浏览器做的太差。。。
Chrome
大家上网的时候呢,CA证书的验证过程是由浏览器完成的,最后提现给用户,就像上面提到的网址前面有个小绿锁头,告诉大家这个网站安全,是可以信任的。
这里存在一个漏洞,浏览器是只认证书的,只要从 CA 颁发机构那里验证了准确性,就会给用户提现 “ 这个网页是安全的 ” 的提示。
也就是说,如果 CA 颁发机构瞎发证书给一些不正经的网站,浏览器是认不出来的,还会傻乎乎的给用户 “ 网页安全 ” 的提示。。。
这他妈就尴尬了,万一出了事算谁的?
普通用户也不懂是么是 CA 啊!浏览器显示安全就会去用,最后用户全怪罪到浏览器头上,Google 岂不是躺着中枪。。。
所以,Google 才会过来撕逼赛门铁克,而且撕的很强势,因为 Google 说的是 “ 逐步不信任赛门铁克颁发的所有证书 ”。
不信任的结果是这样的,网站会被标记为 “ 不安全 ”
这个波及的范围是非常大的,这跟 CA 证书的颁发机制有关,这个机制是:假设 C 证书信任 A 和 B;然后 A 信任 A1 和 A2;B 信任 B1 和 B2。只要C是可信的,那么下面的分支就全是可信的!
作为一个巨头,赛门铁克的发出去的证书和证书分支会有多少,可想而知,赛门铁克的证书被封杀,是灾难性的。
其实这件事,对于赛门铁克来说冲击也就那么回事,毕竟家大业大业务那么多,这一小块部分洒洒水而已。
最惨的是给赛门铁克交了保护费买证书的那些网站运营者了,一年 10W 块保护费交着,还不被承认,这他妈招谁惹谁了?。。。
“ Don't be evil ”