谷歌 Chrome 工程师 Ryan Sleevi 昨日宣布,伴随着赛门铁克最近及以前发布的一系列错误证书,谷歌不再信任赛门铁克过去几年的证书颁发政策,计划逐步降低对其证书的信任,对其新颁发证书的可接受有效期限制在 9 个月以内,并停止展示其 EV SSL 证书绿色地址栏等验证状态。
背景
自 1 月 19 日开始,Google Chrome 团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的 127 个问题证书扩展到至少 30000 个,而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误,这导致谷歌对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。
谷歌指出,赛门铁克未能确保正确的域名验证,对于申请特殊域名 SSL 证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此,谷歌认为赛门铁克没有足够的监督能力。
这已经不是谷歌第一次警告赛门铁克错误签发证书的问题:
2015 年 9 月和 10 月,Google 发现赛门铁克旗下的 Root CA 未经同意签发了众多域名的数千个证书,其中包括 Google 旗下的域名和不存在的域名。Google 称其不能确定赛门铁克的该 Root CA 签发的证书将不会被用于拦截、破坏或冒充 Google 产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。
2015 年 12 月,Google 发布公告称 Chrome、Android 及其他 Google 产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。
采取的措施
谷歌将采取措施,逐步降低对赛门铁克 SSL 证书的信任:
1、赛门铁克新颁发的 SSL 证书可接受的最大有效期缩短至 9 个月,在 Chrome 61 版本生效(预计 9 月 12 日发布)。
2、Chrome 后续一系列版本,将对目前所有赛门铁克已颁发的 SSL 证书越来越不信任,并要求这些证书重新验证和替换。
Chrome 59(Dev,Beta,稳定):33 个月有效期(1023 天)
Chrome 60(Dev,Beta,稳定):27 个月有效期(837 天)
Chrome 61(Dev,Beta,稳定):21 个月有效期(651 天)
Chrome 62(Dev,Beta,稳定):15 个月有效期(465 天)
Chrome 63(Dev,Beta):9 个月有效期(279 天)
Chrome 63(稳定):15 个月有效期(465 天)
Chrome 64(Dev,Beta,稳定):9 个月有效期(279 天)
3、立即删除赛门铁克 EV SSL 证书的扩展验证标识(如绿色地址栏、状态栏显示组织名称等),不少于 1 年,直至确信赛门铁克的颁发政策和做法值得放心。
目前其他浏览器暂时没有做出回应。
消息来源:bleepingcomputer