感謝 Kelly 的投遞
今年 3 月谷歌和火狐調查發現賽門鐵克未經授權錯誤簽發大量 SSL 證書的嚴重問題。7 月 28 日谷歌正式宣佈不再信任賽門鐵克 Symantec 旗下所有 SSL 證書 GeoTrust、Thawte 和 Rapid SSL 等子品牌也受到同樣懲罰。賽門鐵克已同意該提案外媒報道稱其已經在考慮出售 CA 業務。
事件經過
2017 年 3 月份谷歌和火狐的調查人員發現賽門鐵克打破瞭行業規則誤簽發 127 張 SSL 證書隨著調查進一步開展發現誤簽發的證書數量達到驚人的 3 萬多張。
這個數字震撼瞭業界專傢因為賽門鐵克是市場上最大的 CA 之一很少有人敢於做出反應。谷歌是第一個對賽門鐵克 SSL 發行程序表示不滿的並宣佈有意在 Chrome 中逐步刪除對 Symantec 證書的支持。
谷歌指出賽門鐵克未能正確驗證域名對於申請特殊域名 SSL 證書的申請者身份審核草草瞭事。此外賽門鐵克公司的員工既沒有對未經授權發行的證書進行日志審核也沒有對這一缺陷進行改進。因此谷歌認為賽門鐵克沒有足夠的監督能力。
這已經不是谷歌第一次警告賽門鐵克錯誤簽發證書的問題
2015 年 9 月和 10 月 Google 發現賽門鐵克旗下的 Root CA 未經同意簽發瞭眾多域名的數千個證書其中包括 Google 旗下的域名和不存在的域名。Google 認為該 Root CA 簽發的證書可能被用於攔截、破壞或冒充 Google 產品或用戶的安全通信且賽門鐵克在知道以上威脅的情況下也不願詳細說明簽發這些證書的用途。
2015 年 12 月 Google 發佈公告稱 Chrome、Android 及其他 Google 產品將不再信任賽門鐵克 ( Symantec ) 旗下的 "Class 3 Public Primary CA" 根證書。
最終結果
起初賽門鐵克否認所有不合規行為稱之為 " 誇張和誤導 " 的結果。盡管如此賽門鐵克已經預見到不好的結果最終以談判達成共識。7 月 28 日谷歌宣佈瞭賽門鐵克同意的提案將執行時間從原本計劃的今年 10 月份 Chrome 62 延期至明年 4 月份 ( Chrome 66 ) 分階段實施並最終完全移除對賽門鐵克 SSL 證書的信任。
第一階段賽門鐵克變成子 CA2017 年 12 月 1 日
2017 年 12 月 1 日 - 賽門鐵克與另一個 SSL 證書頒發機構合作以賽門鐵克的名稱頒發證書。賽門鐵克將在技術上成為一傢子 CASub CA。
谷歌和其他瀏覽器廠商希望將 SSL 簽發權轉移到另一個 CA 的基礎設施上防止賽門鐵克破壞規則為不應該簽發證書的站點頒發證書。與此同時賽門鐵克可以默默地準備一個新的基礎設施構建其新的 SSL 業務。然而該公司已經開始考慮出售 CA 業務。
第二階段 Chrome 66 不信任賽門鐵克部分證書 2018 年 4 月
谷歌 Chrome 66 發佈時預計 2018 年 4 月將開始第二階段的懲罰。從 Chrome 66 版本開始 Chrome 將不信任 2016 年 6 月 1 日之前簽發的所有賽門鐵克 SSL 證書。
第三階段 Chrome 70 完全不信任賽門鐵克所有證書 2018 年 10 月
谷歌 Chrome 70 發佈時預計 2018 年 10 月 Chrome 將不信任 2017 年 12 月 1 日之前簽發的所有賽門鐵克 SSL 證書。
谷歌 Chrome 將刪除賽門鐵克當前所有根證書賽門鐵克收購的其他 CA 如 GeoTrustThawte 和 Rapid SSL 都將遭受同樣的懲罰 FirFox、Safari 等瀏覽器廠商可能不久後也會跟進。在應用程序或網站上使用瞭 Symantec SSL 證書及其旗下 GeoTrustThawte 和 Rapid SSL 證書的網站管理者應盡快替換其他全球信任的 SSL 證書。