赛门铁克称谷歌关于该公司证书调查数据被严重夸大

谷歌日前正在安全群组中就赛门铁克证书管理系统混乱问题进行讨论,问题集中在赛门铁克内部审计的混乱。事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书。

签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有 1 天时间。

随后谷歌反应强烈并立即向赛门铁克通报了此事,赛门铁克则是立即开除了这名雇员并开始内部的审计调查。

经过调查发现赛门铁克签发的证书除了谷歌之外还有挪威著名浏览器Opera,并还有127个相关的数字证书。

这意味着赛门铁克并没有严格的执行内部审计,随意签发数字证书会让整个互联网陷入安全危机和恐慌之中。

目前谷歌称发现的问题数字证书远远不止27个,在谷歌安全群组中讨论和透露的数据显示问题证书约3万个。

32986.png

  (赛门铁克旗下公司签发的问题证书,目前已吊销)

谷歌目前提出的惩罚措施包括:

1、将信任赛门铁克及其子公司签发的证书时间缩短至9个月,即超过9个月的不再信任;

2、将暂停信任赛门铁克及其子公司签发的扩展验证证书1年,扩展验证即地址显示公司名称的证书;

3、赛门铁克及其子公司需要将之前签发的问题证书吊销,然后重新签发合规的证书;

请注意:上述措施只是提议还未施行,国内部分媒体所称的已经停止信任赛门铁克所有证书是谣言。

赛门铁克是如何看待谷歌的提议的?

目前赛门铁克与谷歌双方之间火药味十足,赛门铁克称不认同谷歌提出的建议以及30000个问题证书的数据。

赛门铁克称该公司已经将有问题的127个数字证书吊销或者是重新签发,有关30000个问题证书实际为夸大。

对于有其他问题的证书赛门铁克承诺会为用户免费重新签发,但对于减少证书有效期问题赛门铁克无法接受。

赛门铁克称支持谷歌有关减少签发证书的有效期的提议,但这会把整个行业的签发的证书有效期都给缩短了。

注:缩短证书有效期通常来说可以提高安全性,因为即使证书被泄露出去未被发觉到期也会自动过期。

赛门铁克称该公司已经加强内部审核和对代理公司的审核,清退掉那些不符合安全政策的证书签发代理公司。

最后赛门铁克称谷歌长期以来都在试图消灭掉扩展验证证书,但其他的浏览器仍然会继续认可扩展验证证书。

赛门铁克将会继续签发扩展验证证书来给客户提高信任度,同时也会继续与谷歌和其他品牌浏览器进行商讨。

*注:扩展验证证书即Extended Validation Certificate,浏览器地址栏会详细显示证书所有者的公司名称。

本文转自d1net(转载)

时间: 2024-10-26 01:05:29

赛门铁克称谷歌关于该公司证书调查数据被严重夸大的相关文章

赛门铁克、谷歌“证书大战”僵持,Mozilla 或加入搅局

Google 正在考虑对赛门铁克及其证书经销商多次重复不正确地发出 SSL 证书的事件进行严厉的处罚,拟议的计划是强制该公司更换其所有客户的证书,并停止识别拥有该证书的扩展验证(EV)状态.如果 Google 的计划付诸实施,数百万的现有 Symantec 证书将在未来12个月内在 Google Chrome 中不受信任. SSL / TLS 证书是用于加密浏览器和支持 HTTPS 网站之间的连接,并验证用户是否真正访问他们打算使用的网站,避免欺诈网站.这些证书由被认为是浏览器和操作系统默认信任

赛门铁克称90.4%的电子邮件是垃圾邮件,环比增长5.1%

北京时间5月27日上午消息,据国外媒体报道,赛门铁克在报告中称,上个月企业网络中90.4%的电子邮件属于垃圾邮件,环比增长5.1%.据称多年以来互联网上的垃圾邮件占有率一直在80%至95%之间. 赛门铁克在报告中称,现在有58%的垃圾邮件来自所谓的僵尸网络(僵尸网络,是许多台被恶意代码感染.控制的与互联网相连接的计算机.犯罪分子利用这些被操纵的机器窃取资料,发动攻击或者发送垃圾电子邮件).垃圾邮件中有18.2%是从被称为Donbot的发送垃圾邮件数量最多的僵尸网络发送的. 这些僵尸网络被黑客控制

赛门铁克称90%电子邮件为垃圾邮件

北京时间5月27日上午消息,据国外媒体报道,赛门铁克在报告中称,上个月企业网络中90.4%的电子邮件属于垃圾邮件,环比增长5.1%.据称多年以来互联网上的垃圾邮件占有率一直在80%至95%之间. 赛门铁克在报告中称,现在有58%的垃圾邮件来自所谓的僵尸网络(僵尸网络,是许多台被恶意代码感染.控制的与互联网相连接的计算机.犯罪分子利用这些被操纵的机器窃取资料,发动攻击或者发送垃圾电子邮件).垃圾邮件中有18.2%是从被称为Donbot的发送垃圾邮件数量最多的僵尸网络发送的. 这些僵尸网络被黑客控制

赛门铁克称CIA的黑客工具应对多起网络攻击负责

4月11日消息,据路透社报道,赛门铁克(Symantec)的安全研究人员周一表示,泄密网站"维基解密"最近曝光的绝密黑客工具,应对全球数十家机构过去遭到的网络攻击负责. 这意味着这些攻击可能是由美国中央情报局(CIA)实施的.维基解密发布的文件,隐约展示了中情局内部对入侵手机.电脑和其它电子设备的各种工具的讨论,以及其中一些工具的编程代码.多位熟悉此事的人士告诉路透社,这些文件来自中情局或其承包商. 赛门铁克表示,它发现发生在16个国家的40次以上的网络攻击与维基解密所获得的工具有关,

赛门铁克称加密技术可保障物联网安全

赛门铁克物联网安全专家布莱恩·威滕在伦敦的可穿戴技术展示会上表示,安全风险成为物联网发展的一大问题.很多企业虽然善于制造设备,但并非安全公司,缺乏安全意识,而很多安全公司又从未制造过这些要求严苛的设备.一些企业考虑到电脑功率限制或架构模糊等问题,认为安全技术无法嵌入到设备中,但实际上是可行的.企业因不懂如何保护低功率连接设备,易受到黑客攻击. 威滕称,赛门铁克与物联网技术供应商共同在物联网设备中嵌入了密钥,部分物理宽度只有发丝大小,关键是采用类似于SSL(安全套接层)的既可用于连接设备又功耗极低

赛门铁克将收购以色列安全公司Fireglass

   雷锋网(公众号:雷锋网)7月7日消息,据外媒报导,美国网络安全公司赛门铁克宣布,将收购以色列安全初创公司Fireglass,预期将于今年第三季度完成,财务细节尚未公布.此次收购将保留该公司的全部员工. Fireglass于2014成立于特拉维夫,一直非常低调.2016年11月,Fireglass获得2000万美元融资,投资人包括Norwest和光速. 据雷锋网了解,Fireglasss以浏览器威胁隔离技术(Browser Isolation)见长,通过防止恶意内容穿过防火墙,帮助企业打击恶

赛门铁克提供基于SaaS的网络备份方案

http://www.aliyun.com/zixun/aggregation/10188.html">赛门铁克推出的基于Web的新解决方案使得中小企业能够方便地备份数据和预防灾难.Symantec Online Backup 和Symantec Online Storage for Backup Exec将成为目前EMC和CommVault推出产品的竞争对手. 据国外媒体报道称,使用"软件即服务"(SaaS)解决方案,消费者购买的是使用权,而不是所有权,软件的使用能够

谷歌威胁取消赛门铁克SSL/TLS证书信任

谷歌警告称,强烈反对并将移除赛门铁克颁发的SSL/TLS证书.赛门铁克回应:此举实属无理取闹. 谷歌威胁赛门铁克称它将终止信任Chrome浏览器内部赛门铁克颁发的某些SSL/TLS证书,理由是赛门铁克未能恰当地验证所颁发的证书.赛门铁克对此表示强烈反对. 谷歌软件工程师瑞恩·斯利维写道: "1月19日以来,谷歌Chrome团队一直在调查赛门铁克公司证书验证上的问题.调查过程中,赛门铁克提供的解释,暴露出与谷歌Chrome团队渐行渐远的理念." 谷歌最初调查了127个可能被误颁的证书,但

赛门铁克:捡到者都会尝试访问智能手机

本文讲的是 :  赛门铁克:捡到者都会尝试访问智能手机  , [IT168 应用]赛门铁克的研究发现,几乎所有捡到智能手机的人都会尝试访问智能手机中的个人数据和企业数据,只有半数人会直接联络失主. 赛门铁克对智能手机用户的建议?千万要抓牢了,别弄丢了. 根据赛门铁克公司的最新调查显示,在公共场所丢失智能手机或者其他移动设备的用户有一半的机会能够重新找回.即使设备最终被物归原主,捡到智能手机的人极有可能已经进入了手机系统,查看他们能够找到哪些个人数据和企业数据. 据赛门铁克称,这里得出的教训就是智