谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。
谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。
谷歌软件工程师瑞恩·斯利维写道:
“1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。”
谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。2015年10月,谷歌也就证书颁发问题公开警告了赛门铁克。
谷歌准备对赛门铁克采取一系列行动,包括缩短新颁发证书有效期到仅9个月或更短的时间,以及取消对赛门铁克扩展验证(EV)证书的识别。另外,谷歌计划展开对赛门铁克证书的“增量不信任”行动,全部现行此类证书在一段时间内将不被信任,需要重新验证并替换掉。
就其本身而言,赛门铁克是不同意谷歌的立场的。在自有博客上,赛门铁克辩称,谷歌的声明是“不负责任的”,且有夸大和误导的嫌疑。
赛门铁克表示,所有主流证书认证机构(CA)都存在SSL/TLS误颁问题,但谷歌仅仅挑出赛门铁克证书认证机构来说事儿——在谷歌博客贴出的误颁问题涉及多家CA的情况下。
有安全专家对谷歌在证书完整性上的立场持乐观看法。凯文·波塞克,Venafi安全策略与威胁情报副总裁,认为谷歌的做法是对的——鉴于SSL/TLS证书是互联网信任与隐私的基石。
然而,谷歌对赛门铁克证书的信任撤销,可能会对整个互联网产生重大影响。波塞克称,大大小小的公司企业不得不尽快找出并替换掉赛门铁克证书。
更重要的是,谷歌提出赛门铁克的扩展验证证书不应该再被信任。这类证书被银行、零售商、保险商和政府广泛使用,承载着最高级别的信任。
这可能会对使用赛门铁克EV证书的组织造成很大影响,尤其是在安全上投入很多的大型企业或组织,往往不能够在影响到业务之前,很快地找出并替换掉这些证书。
斯科特·佩特里,Authentic8首席执行官,同样认为谷歌提出该问题是正确的做法。
“赛门铁克公司证书相关失职问题由来已久,而问题证书在今天这种监视状况下的风险是十分巨大的。最初的几步并非重拳出击,但释放了强烈的信号。”
大卫·考克西,ID Dataweb 首席执行官,认为谷歌的举动并不太猛烈。谷歌可以采取的最严酷行动,是在Chrome浏览器根信任存储区中直接抹去赛门铁克。
“然而,他们采取了温和的办法,分阶段淘汰老旧证书。这会导致现在还有效的站点在用户会话中不再有效,而这又会迫使这些站点的拥有者从可信提供商处购买新的SSL证书。”
波塞克认为,不考虑最终结果的话,谷歌的举动更像是对公司企业的一记警钟。大多数公司缺乏根据外部情况快速迁移、增加或修改证书、密钥或CA的能力。
佩特里对谷歌和赛门铁克解决SSL/TLS证书问题持乐观态度。他还对该争端有助于进一步教育市场SSL/TLS证书问题抱有期望。大多数互联网用户在Web安全上表现出两极态度:某站点SSL/TLS证书失效的话,半数以上的用户就会点击小红叉关掉了,而另一半用户只要地址栏的小锁头图标是绿色就会感觉自己是安全的。
SSL证书满足了互联网生态系统中的特定需求,但它们不是万灵丹。它们在浏览器和主机间连接上建立一定程度的完整性,但不保证整个网站、内容或数据防护的有效性。
本文转自d1net(转载)