要惩罚赛门铁克,谷歌可能会使三分之一的网络SSL证书不信任
谷歌正在考虑对重复事件的严厉惩罚,其中赛门铁克或其证书经销商签发了SSL证书。拟议计划是迫使公司替换其所有客户证书,并停止识别拥有它的人的扩展验证(EV)状态。
根据2015年的Netcraft调查,Symantec负责网络上使用的每三个SSL证书中的一个,使其成为世界上最大的商业证书发行人。由于多年来,该公司目前控制了几个以前独立证书机构的根证书,包括VeriSign,Geotrust,Thawte和RapidSSL。
SSL / TLS证书用于加密浏览器和启用HTTPS的网站之间的连接,也可以验证用户实际上是否访问他们打算而不是欺骗版本的网站。这些证书由被称为证书机构的组织颁发,这些组织在浏览器和操作系统中默认信任。
发布和管理证书的过程受CA /浏览器论坛创建的规则,该组织包括浏览器供应商和证书颁发机构的组织。当违反这些规则时,浏览器和操作系统供应商可以在违规证书中撤消信任并制定负责任的证书机构,并将其从根证书中删除。
谷歌表示,调查最近的事件表明,赛门铁克没有预先支持证书当局的安全实践,例如验证域名控制,审计日志,以便未经授权的发放的证据,尽量减少发布欺诈性证书的能力。
如果谷歌的计划付诸实践,在谷歌浏览器的未来12个月内将不受欢迎。这将是一个渐进的过程,每个新的Chrome释放都将使新批次的证书不信任Chrome 59,这将撤销在有效期超过33个月的证书中的信任。
这将对赛门铁克施加巨大压力,因为公司将不得不联系所有客户,验证他们的身份和域名的所有权,并再次用新的证书替换,最有可能没有成本。
一些公司可能会在短时间内替换证书的问题,因为它们可能用于付款终端和其他难以到达嵌入式设备。
除此之外,Symantec可能不得不退还支付为EV证书支付的客户,这将不再在Chrome中被识别,因为它们的价值将大大减少。禁止赛门铁克EV证书将持续一年。
赛门铁克签发的所有替换证书都需要有九个月或更短时间的有效期,以便在Chrome中受到信任。这可能会对一些大公司造成进一步的问题,其中赢得了每九个月可以轻松更换证书。
安全地说,谷歌的制裁可能对赛门铁克的SSL业务产生重大影响,因为公司可能会失去赢得愿意忍受这些限制的客户,并将他们的业务取得贡献不同的证书颁发机构(CA)。
浏览器供应商在不当发行证书 - 或“暗示”它们,在工业瞩目中遭到惩罚的CA - 但在这种规模中,从未在这种规模上并且在生态系统上的影响很大。有些人一直想知道浏览器供应商是否真的可以对世界上最大的CAS进行急剧制裁,或者这些当局是否太大而无法失败。
这种前所未有的惩罚的原因似乎是在过去几年中对赛门铁克的重复误导证书,其中一些公司尽管内部和外部审计,但该公司未能独自识别。今年未发现最新案例,涉及127份与虚假信息签发的证明书或未经作为注册机构(RA)运营的赛门特合作伙伴的域名所有权核实。
据谷歌,调查呼吁质疑赛门铁克合作伙伴在跨越几年的时间内发布的至少30,000次证明的有效性。但是,赛门铁克的争议是这个数字。
“Symantec允许至少四方访问其基础设施的方式,以造成证书颁发,并没有根据需要和预期充分监督这些能力,并且当有这些组织未能遵守适当的护理标准的证据时,失败为了及时披露这些信息或确定对他们所报告的问题的重要性,“Google”的Ryan Slevi在Chrome开发邮件列表中的帖子中表示。
这使得过去的事件已经领导了谷歌以“过去几年不再对赛门铁克的证书发布政策和做法有信心”,“Slevi说。
赛门铁克强烈反对谷歌计划并批评其出版物。它还描述了谷歌关于公司过去态度的言论,因为“夸张和误导”。
“这一行动出乎意料,我们相信博客职位是不负责任的,”公司在星期五的博客邮政中表示。“我们希望没有计算出于在互联网社区内创造有关我们的SSL / TLS证书的不确定性和怀疑。”
Symantec表示,关于30,000 Certficates的关于30,000 Certficates的索赔并没有导致任何消费者伤害的确认,并不导致负责该事件的合作伙伴的关系已被终止,并且其整个RA计划已停止。
据赛门铁克表示,虽然所有主要的CAS都经历了SSL / TLS证书错误发行事件,但谷歌已经在其提议中挑出了赛门铁克证书颁发机构,即使谷歌博客文章中涉及几个CAS,赛门铁克表示。
该公司将努力最大限度地减少谷歌的提案造成的任何潜在的中断,如果它向前发展,但与谷歌讨论此事并找到相同的解决方案。
与此同时,管理自己的根证书计划的Mozilla也考虑到赛门铁克的制裁,可能必须与谷歌对齐。
“现在谷歌已经宣布了他们的行动,不可避免地注意到,考虑到CA对CA采取广泛的行动的两个根商店可能是最优选的,因此CA对相同的行为”Mozilla“是不惩罚。 S Gervase Markham在组织的安全策略邮件列表中写道。
然而,马克姆指出,谷歌的计划是“在他正在考虑的选项的”强势终点“,并且校准了必须考虑到以前的先例和对其他CA的制裁的反应水平,这是一个艰难的过程。