谷歌日前正在安全群組中就賽門鐵克證書管理系統混亂問題進行討論,問題集中在賽門鐵克內部審計的混亂。事情開始還要從2015年谷歌監測到偽造的證書時說起,當時賽門鐵克的雇員簽發了谷歌相關域名的數字證書。
簽發谷歌的數字證書意味著如果證書流傳出去則可被用于劫持谷歌,雖然這個證書的有效期僅只有 1 天時間。
隨后谷歌反應強烈并立即向賽門鐵克通報了此事,賽門鐵克則是立即開除了這名雇員并開始內部的審計調查。
經過調查發現賽門鐵克簽發的證書除了谷歌之外還有挪威著名瀏覽器Opera,并還有127個相關的數字證書。
這意味著賽門鐵克并沒有嚴格的執行內部審計,隨意簽發數字證書會讓整個互聯網陷入安全危機和恐慌之中。
目前谷歌稱發現的問題數字證書遠遠不止27個,在谷歌安全群組中討論和透露的數據顯示問題證書約3萬個。
(賽門鐵克旗下公司簽發的問題證書,目前已吊銷)
谷歌目前提出的懲罰措施包括:
1、將信任賽門鐵克及其子公司簽發的證書時間縮短至9個月,即超過9個月的不再信任;
2、將暫停信任賽門鐵克及其子公司簽發的擴展驗證證書1年,擴展驗證即地址顯示公司名稱的證書;
3、賽門鐵克及其子公司需要將之前簽發的問題證書吊銷,然后重新簽發合規的證書;
請注意:上述措施只是提議還未施行,國內部分媒體所稱的已經停止信任賽門鐵克所有證書是謠言。
賽門鐵克是如何看待谷歌的提議的?
目前賽門鐵克與谷歌雙方之間火藥味十足,賽門鐵克稱不認同谷歌提出的建議以及30000個問題證書的數據。
賽門鐵克稱該公司已經將有問題的127個數字證書吊銷或者是重新簽發,有關30000個問題證書實際為夸大。
對于有其他問題的證書賽門鐵克承諾會為用戶免費重新簽發,但對于減少證書有效期問題賽門鐵克無法接受。
賽門鐵克稱支持谷歌有關減少簽發證書的有效期的提議,但這會把整個行業的簽發的證書有效期都給縮短了。
注:縮短證書有效期通常來說可以提高安全性,因為即使證書被泄露出去未被發覺到期也會自動過期。
賽門鐵克稱該公司已經加強內部審核和對代理公司的審核,清退掉那些不符合安全政策的證書簽發代理公司。
最后賽門鐵克稱谷歌長期以來都在試圖消滅掉擴展驗證證書,但其他的瀏覽器仍然會繼續認可擴展驗證證書。
賽門鐵克將會繼續簽發擴展驗證證書來給客戶提高信任度,同時也會繼續與谷歌和其他品牌瀏覽器進行商討。
*注:擴展驗證證書即Extended Validation Certificate,瀏覽器地址欄會詳細顯示證書所有者的公司名稱。