谷歌宣布将减少对赛门铁克旗下TLS证书的信任有效期

谷歌公司已经宣布该公司正在计划减少对赛门铁克TLS证书的信任作为对赛门铁克证书管理混乱的惩罚措施。

目前已经计划的惩罚措施包括 Google Chrome 浏览器将只能信任赛门铁克签发的有效期低于279天的证书。

谷歌工程师称由于赛门铁克的基础设施存在问题且没有及时披露信息，谷歌认为这会给用户带来显著的风险。

Google Chrome浏览器小组成员称，从开始调查时127个问题证书到目前已经发现了至少30,000个问题证书。

目前赛门铁克调查发现的问题证书里已经吊销了部分，诸如Example.com和Test.com的证书都已经吊销了。

但由于赛门铁克及其子公司运营的证书颁发机构众多，谷歌不可能直接在Chrome浏览器里不信任所有证书。

不过作为惩罚措施除了减少信任有效期外，谷歌工程师已经提议暂时停止信任赛门铁克签发的扩展验证证书。

*注：扩展验证证书即Extended Validation Certificate，浏览器地址栏会详细显示证书所有者的公司名称。

早在2015年时谷歌就监测到赛门铁克旗下的证书颁发机构Thawte在谷歌不知情的情况下签发谷歌域名证书。

赛门铁克收到谷歌的通知后立刻解雇了相关雇员并展开内部调查，调查发现其雇员至少签发了23个测试证书。

这些测试证书里面包括谷歌公司和Opera浏览器母公司的相关域名，虽然是测试证书但这些证书都是有效的。

谷歌随后批评赛门铁克连自己的内部审计都没有做好，同时谷歌要求赛门铁克颁发的证书需支持透明度政策。