今年3月谷歌和火狐調查發現賽門鐵克未經授權錯誤簽發大量SSL證書的嚴重問題。7月28日谷歌正式宣布不再信任賽門鐵克Symantec旗下所有SSL證書GeoTrust、Thawte和Rapid SSL等子品牌也受到同樣懲罰。賽門鐵克已同意該提案外媒報道稱其已經在考慮出售CA業務。

事件經過

2017年3月份谷歌和火狐的調查人員發現賽門鐵克打破了行業規則誤簽發127張SSL證書隨著調查進一步開展發現誤簽發的證書數量達到驚人的3萬多張。

這個數字震撼了業界專家因為賽門鐵克是市場上最大的CA之一很少有人敢于做出反應。谷歌是第一個對賽門鐵克SSL發行程序表示不滿的并宣布有意在Chrome中逐步刪除對Symantec證書的支持。

谷歌指出賽門鐵克未能正確驗證域名對于申請特殊域名SSL證書的申請者身份審核草草了事。此外賽門鐵克公司的員工既沒有對未經授權發行的證書進行日志審核也沒有對這一缺陷進行改進。因此谷歌認為賽門鐵克沒有足夠的監督能力。

這已經不是谷歌第一次警告賽門鐵克錯誤簽發證書的問題

2015年9月和10月Google發現賽門鐵克旗下的Root CA未經同意簽發了眾多域名的數千個證書其中包括Google旗下的域名和不存在的域名。Google認為該Root CA簽發的證書可能被用于攔截、破壞或冒充Google產品或用戶的安全通信且賽門鐵克在知道以上威脅的情況下也不愿詳細說明簽發這些證書的用途。

2015年12月Google發布公告稱Chrome、Android及其他Google產品將不再信任賽門鐵克(Symantec)旗下的"Class 3 Public Primary CA"根證書。

最終結果

起初賽門鐵克否認所有不合規行為稱之為“夸張和誤導”的結果。盡管如此賽門鐵克已經預見到不好的結果最終以談判達成共識。7月28日谷歌宣布了賽門鐵克同意的提案將執行時間從原本計劃的今年10月份Chrome 62延期至明年4月份(Chrome 66)分階段實施并最終完全移除對賽門鐵克SSL證書的信任。

第一階段賽門鐵克變成子CA2017年12月1日

2017年12月1日-賽門鐵克與另一個SSL證書頒發機構合作以賽門鐵克的名稱頒發證書。賽門鐵克將在技術上成為一家子CASub CA。

谷歌和其他瀏覽器廠商希望將SSL簽發權轉移到另一個CA的基礎設施上防止賽門鐵克破壞規則為不應該簽發證書的站點頒發證書。與此同時賽門鐵克可以默默地準備一個新的基礎設施構建其新的SSL業務。然而該公司已經開始考慮出售CA業務。

第二階段Chrome 66不信任賽門鐵克部分證書2018年4月

谷歌Chrome 66發布時預計2018年4月將開始第二階段的懲罰。從Chrome 66版本開始Chrome將不信任2016年6月1日之前簽發的所有賽門鐵克SSL證書。

第三階段Chrome 70完全不信任賽門鐵克所有證書2018年10月

谷歌Chrome 70發布時預計2018年10月Chrome將不信任2017年12月1日之前簽發的所有賽門鐵克SSL證書。

谷歌Chrome將刪除賽門鐵克當前所有根證書賽門鐵克收購的其他CA如GeoTrustThawte和Rapid SSL都將遭受同樣的懲罰FirFox、Safari等瀏覽器廠商可能不久后也會跟進。在應用程序或網站上使用了Symantec SSL證書及其旗下GeoTrustThawte和Rapid SSL證書的網站管理者應盡快替換其他全球信任的SSL證書。