上海青羽电脑科技有限公司

新闻中心

——“因为我们的存在,让您的邮件系统更有价值!”

新闻中心

Chrome 宣布将不再信任赛门铁克所有 SSL 证书

发布时间:2017-08-04  /  浏览次数:8,533次

今年 3 月,谷歌和火狐调查发现赛门铁克未经授权错误签发大量 SSL 证书的严重问题。7 月 28 日,谷歌正式宣布不再信任赛门铁克 Symantec 旗下所有 SSL 证书 GeoTrust、Thawte 和 Rapid SSL 等子品牌也受到同样惩罚。赛门铁克已同意该提案外媒报道称其已经在考虑出售 CA 业务。

事件经过

2017 年 3 月份,谷歌和火狐的调查人员发现赛门铁克打破了行业规则误签发 127 张 SSL 证书,随着调查进一步开展,发现误签发的证书数量达到惊人的 3 万多张。

这个数字震撼了业界专家,因为赛门铁克是市场上 CA 之一很少有人敢于做出反应。谷歌对赛门铁克 SSL 发行程序表示不满,并宣布有意在 Chrome 中逐步删除对 Symantec 证书的支持。

谷歌指出赛门铁克未能正确验证域名,对于申请特殊域名 SSL 证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此谷歌认为赛门铁克没有足够的监督能力。

这已经不是谷歌一次警告赛门铁克错误签发证书的问题。

2015 年 9 月和 10 月 Google 发现赛门铁克旗下的 Root CA 未经同意签发了众多域名的数千个证书,其中包括 Google 旗下的域名和不存在的域名。Google 认为该 Root CA 签发的证书可能被用于拦截、破坏或冒充 Google 产品或用户的安全通信,且赛门铁克在知道以上威胁的情况下也不愿详细说明签发这些证书的用途。

2015 年 12 月 , Google 发布公告称 Chrome、Android 及其他 Google 产品将不再信任赛门铁克 ( Symantec ) 旗下的 "Class 3 Public Primary CA" 根证书。

结果

起初,赛门铁克否认所有不合规行为称之为 " 夸张和误导 " 的结果。尽管如此赛门铁克已经预见到不好的结果以谈判达成共识。7 月 28 日谷歌宣布了赛门铁克同意的提案将执行时间从原本计划的今年 10 月份 Chrome 62 延期至明年 4 月份 ( Chrome 66 ) 分阶段实施并移除对赛门铁克 SSL 证书的信任。

起初阶段 赛门铁克变成子 CA2017 年 12 月 1 日

2017 年 12 月 1 日 - 赛门铁克与另一个 SSL 证书颁发机构合作以赛门铁克的名称颁发证书。赛门铁克将在技术上成为一家子 CASub CA。

谷歌和其他浏览器厂商希望将 SSL 签发权转移到另一个 CA 的基础设施上,防止赛门铁克破坏规则为不应该签发证书的站点颁发证书。

与此同时,赛门铁克可以默默地准备一个新的基础设施构建其新的 SSL 业务。然而该公司已经开始考虑出售 CA 业务。

第二阶段 Chrome 66 不信任赛门铁克部分证书 2018 年 4 月

谷歌 Chrome 66 发布时,预计 2018 年 4 月将开始第二阶段的惩罚。从 Chrome 66 版本开始 Chrome 将不信任 2016 年 6 月 1 日之前签发的所有赛门铁克 SSL 证书。

第三阶段 Chrome 70 不信任赛门铁克所有证书 2018 年 10 月

谷歌 Chrome 70 发布时预计 2018 年 10 月 Chrome 将不信任 2017 年 12 月 1 日之前签发的所有赛门铁克 SSL 证书。

谷歌 Chrome 将删除赛门铁克当前所有根证书,赛门铁克收购的其他 CA 如 GeoTrustThawte 和 Rapid SSL 都将遭受同样的惩罚 FirFox、Safari 等浏览器厂商可能不久后也会跟进。在应用程序或网站上使用了 Symantec SSL 证书及其旗下 GeoTrustThawte 和 Rapid SSL 证书的网站管理者应尽快替换其他全球信任的 SSL 证书。

靠谱邮件—专注企业邮件云安全解决方案15年,值得信赖!上海青羽科技专注为企业提供优质的企业邮箱服务、反垃圾邮件云网关、邮件安全外发、邮件归档等企业邮件SaaS解决方案

一站式解决邮件收发与安全难题
靠谱工程师为您提供一对一的专业技术支持与服务
申请试用
400-602-8603