谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书。赛门铁克回应:此举实属无理取闹。

谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书。赛门铁克对此表示强烈反对。

谷歌软件工程师瑞恩·斯利维写道:

“1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题。调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念。”

谷歌最初调查了127个可能被误颁的证书,但问题证书列表如今已扩展到包含数年来颁发的至少30,000个证书。2015年10月,谷歌也就证书颁发问题公开警告了赛门铁克。

谷歌准备对赛门铁克采取一系列行动,包括缩短新颁发证书有效期到仅9个月或更短的时间,以及取消对赛门铁克扩展验证(EV)证书的识别。另外,谷歌计划展开对赛门铁克证书的“增量不信任”行动,全部现行此类证书在一段时间内将不被信任,需要重新验证并替换掉。

就其本身而言,赛门铁克是不同意谷歌的立场的。在自有博客上,赛门铁克辩称,谷歌的声明是“不负责任的”,且有夸大和误导的嫌疑。

赛门铁克表示,所有主流证书认证机构(CA)都存在SSL/TLS误颁问题,但谷歌仅仅挑出赛门铁克证书认证机构来说事儿——在谷歌博客贴出的误颁问题涉及多家CA的情况下。

有安全专家对谷歌在证书完整性上的立场持乐观看法。凯文·波塞克,Venafi安全策略与威胁情报副总裁,认为谷歌的做法是对的——鉴于SSL/TLS证书是互联网信任与隐私的基石。

然而,谷歌对赛门铁克证书的信任撤销,可能会对整个互联网产生重大影响。波塞克称,大大小小的公司企业不得不尽快找出并替换掉赛门铁克证书。

更重要的是,谷歌提出赛门铁克的扩展验证证书不应该再被信任。这类证书被银行、零售商、保险商和政府广泛使用,承载着最高级别的信任。

这可能会对使用赛门铁克EV证书的组织造成很大影响,尤其是在安全上投入很多的大型企业或组织,往往不能够在影响到业务之前,很快地找出并替换掉这些证书。

斯科特·佩特里,Authentic8首席执行官,同样认为谷歌提出该问题是正确的做法。

“赛门铁克公司证书相关失职问题由来已久,而问题证书在今天这种监视状况下的风险是十分巨大的。最初的几步并非重拳出击,但释放了强烈的信号。”

大卫·考克西,ID Dataweb 首席执行官,认为谷歌的举动并不太猛烈。谷歌可以采取的最严酷行动,是在Chrome浏览器根信任存储区中直接抹去赛门铁克。

“然而,他们采取了温和的办法,分阶段淘汰老旧证书。这会导致现在还有效的站点在用户会话中不再有效,而这又会迫使这些站点的拥有者从可信提供商处购买新的SSL证书。”

波塞克认为,不考虑最终结果的话,谷歌的举动更像是对公司企业的一记警钟。大多数公司缺乏根据外部情况快速迁移、增加或修改证书、密钥或CA的能力。

佩特里对谷歌和赛门铁克解决SSL/TLS证书问题持乐观态度。他还对该争端有助于进一步教育市场SSL/TLS证书问题抱有期望。大多数互联网用户在Web安全上表现出两极态度:某站点SSL/TLS证书失效的话,半数以上的用户就会点击小红叉关掉了,而另一半用户只要地址栏的小锁头图标是绿色就会感觉自己是安全的。

SSL证书满足了互联网生态系统中的特定需求,但它们不是万灵丹。它们在浏览器和主机间连接上建立一定程度的完整性,但不保证整个网站、内容或数据防护的有效性。

本文转自d1net(转载)

时间: 2024-10-26 03:09:18

谷歌威胁取消赛门铁克SSL/TLS证书信任的相关文章

谷歌宣布逐步降低对赛门铁克 SSL 证书的信任

谷歌Chrome工程师 Ryan Sleevi昨日宣布,伴随着赛门铁克最近及以前发布的一系列错误证书,谷歌不再信任赛门铁克过去几年的证书颁发政策,计划逐步降低对其证书的信任,对其新颁发证书的可接受有效期限制在9个月以内,并停止展示其EV SSL证书绿色地址栏等验证状态. 背景 自1月19日开始,Google Chrome团队介入调查赛门铁克公司的一系列证书问题.随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而

谷歌Chrome封杀赛门铁克:废止所有HTTPS凭证

因近年赛门铁克误发大量凭证,谷歌周四宣布即日起Google Chrome将逐步限制赛门铁克发出的HTTPS凭证. 2015年9月,赛门铁克承认旗下Thawte凭证机构误发Google.com延伸验证凭证(Extended Validation,EV),并开除相关员工. 当时赛门铁克表示误发了23个凭证,但谷歌最近发现其实总量超过3万个. 这意味着众多使用者可能因此连上包含恶意程序的网站,导致个人资料或账号陷入被窃取的危险境地. 对此,谷歌非常气愤并表示要对赛门铁克实施制裁. 谷歌最新表态,即日起

赛门铁克:我们能否信任 OpenSSL?

尽管亚太地区设置的数据安全标准没有欧盟的标准那么高,但总体趋势是,与数据安全做法有关的规定愈发严格. 例如,韩国在 2014 年通过了<个人信息保护法修正案>,进 一步加强了本已相当严格的安全控制.根据修正案的规定, 公司如今必须向受影响的个人报告所有数据泄露情况,并且 当涉及人数达到 10,000 人时,必须向政府报告.违反者最高可被处以 1 亿韩元的罚款,甚至可能面临监禁.受害方现允 许提出集体诉讼. 澳大利亚也在 2014 年修改了隐私法.目前,小范围泄露的企业将被处以 110,000

赛门铁克承诺提供证书审计计划来安抚 Google

赛门铁克.谷歌"证书大战"仍在继续. 在 Google 的原始提案中,Chrome 将从 Chrome 59 开始减少对塞门铁克的信任,但现在已经推迟到Chrome 60 . Google 工程师 Ryan Sleevi 表示:"需要强调的是,这种拖延不是因为我们相信风险降低,而是希望确保这些变化在生态系统中得到适当的社会化,并且能更好地与其他浏览器可互操作". 针对 Google 的行为,塞门铁克也公开表态,会针对以前所发放的所有有效的扩展验证证书进行审计,并检查

赛门铁克发布全新SEP14解决方案 有效抵御并应对端点网络威胁

[51CTO.com原创稿件]2016年11月23日,全球网络安全领导厂商赛门铁克宣布推出Symantec Endpoint Protection 14解决方案.全新SEP解决方案是端点安全创新领域的又一次突破.基于端点和云端的人工智能,Symantec Endpoint Protection 14解决方案是业内首款将基本端点技术.高级机器学习和记忆漏洞缓解措施集成至单一代理的解决方案,为用户带来多层防护,无论攻击如何发起,都能够有效抵御针对端点的高级威胁. 采用轻量级封装,Symantec E

安全老炮儿看局势——赛门铁克发布第21期《互联网安全威胁报告》

每一年,赛门铁克都会基于全球智能网络数据分析,对过去一年的全球互联网安全威胁动态进行分析总结,同时发布全新的<互联网安全威胁报告(ISTR)>.该报告将对全球范围内的恶意代码活动.网络钓鱼和垃圾邮件.目标性攻击等传统网络威胁以及面向移动和物联网等新兴领域的网络威胁等进行深入分析. 赛门铁克公司近日发布了其第21期<互联网安全威胁报告(ISTR)>,认为,愈演愈烈的网络攻击仍然给企业和个人用户带来了巨大的安全威胁.赛门铁克大中华区安全解决方案技术部,安全产品安全咨询服务技术总监罗少辉

赛门铁克称谷歌关于该公司证书调查数据被严重夸大

谷歌日前正在安全群组中就赛门铁克证书管理系统混乱问题进行讨论,问题集中在赛门铁克内部审计的混乱.事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书. 签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有 1 天时间. 随后谷歌反应强烈并立即向赛门铁克通报了此事,赛门铁克则是立即开除了这名雇员并开始内部的审计调查. 经过调查发现赛门铁克签发的证书除了谷歌之外还有挪威著名浏览器Opera,并还有127个相关的数字证书.

赛门铁克发现智能电视或面临感染勒索软件的威胁

近期,赛门铁克研究人员针对新型智能电视进行实验研究,以了解其抵御网络攻击的能力.实验结果显示,被感染勒索软件的全新智能电视均遭受无法使用的后果.赛门铁克将通过本文揭示智能电视中的安全问题,包括遭受攻击的方式.受到攻击的原因以及如何保护智能电视免受攻击. 智能电视特性 除了普通功能之外,新型智能电视还允许观众浏览网页.观看并点播流媒体,支持下载并运行应用程序.目前,智能电视正迅速成为家庭和商业环境中的标配.报道预测,到2016年,北美与西欧家庭中的网络电视数量将达到1 亿台. 当前智能电视主要采用

赛门铁克揭示网站安全将显著影响消费者购买行为

赛门铁克最新调研表示,对购物网站的信任将极大地影响消费者的购买决定. ·78%的受访者表示网站地址栏中的小锁标志让其对所访问的网站的安全性充满信心 ·61%的受访者在进行网络购物时会检查地址栏 ·63%的受访者表示在付款页面看到诺顿安全认证签章会增加购买的可能性 中国的"双11网购节"的火爆程度充分显示了网络购物已经成为消费者生活中不可缺少的一部分.为了深入了解消费者在网购时的安全意识和担忧程度,探究网络安全迹象对人们的网络购物决定的影响,赛门铁克携手YouGov调研机构在2015年9