要惩罚赛门铁克,谷歌可能会使三分之一的网络SSL证书不信任
布伦特理事会租户接收全纤维宽带服务
英格兰和威尔士蟋蟀委员会改善球员的医疗数据
苹果在传统市场失去了地面:教育
芬兰的研发支出在丢失十年后正在恢复
AWS如何在海湾保持竞争对手
放松:这款手机测量血压
只需在150个技术专业人才的了解中
英国呼吁使用欧盟新的数据共享模型
Google Play面向Cat和鼠标游戏与Sneaky Android Malware
招聘人员:需要编码人才;程度可选
BDRIVE使用指纹和碎片保护云中的文件
NHS信任转储为Nutanix超级融合的EMC San
特斯拉成为夏威夷考艾岛的电池储存供应商
谷歌宣布三个新的云层,合同折扣
边缘的智能将看到从云迁移的工作负载
莫斯科的智能技术包括160,000个户外摄像头
澳大利亚初创公司团队努力保持风力涡轮机嗡嗡声
Morgan Stanley使用Amazon Alexa来告知客户
三分之一的人会从谷歌或亚马逊购买保险
VPN黑客可以致命,警告安全专家
ICO可以在Facebook探测中使用新的GDPR权力
联邦调查局扩展Facebook数据共享探针
Cunnington说,GDS正在努力民主化数字化数字化
巨大的新加坡数据突破表演需要新的方法
笔测试人员在银行网络安全中找到了缺点
IBM结果留下了Watson思维
工业赌注固定无线访问首次5G部署
新加坡公司转向区块链,以改善粮食安全
Nordic Healthcare Services提供商提供IT基础架构
Wikileaks看着帮助技术供应商解除CIA黑客工具
消费者对智能家庭谨慎了解太多
分析师问题澳大利亚政府的IBM交易
Safari浏览器脱掉用户,模仿IE
Deloitte推出了emea-wide倡议来关闭网络安全性别差距
协同工作组推出安全智能网络
借记卡付款在2017年首次超过现金
数据显示特斯拉车辆崩溃与自动驾驶仪下降了40%
易于利用的身份验证旁路缺陷将Netgear路由器置于风险
蓝宝石2018年:McDerMott说,SAP将接管CRM市场
黑客越来越多地瞄准云基础设施
Node.js开发人员Horizo​​ n的技能认证
Security修复延迟为Microsoft Postpones补丁周二
研究人员称,数十个iOS应用程序未能保护用户数据
谷歌推送开发人员在275K Android应用程序中修复安全漏洞
橙色在巴黎开始5G测试
MAC结束销售衰退,记录收入为7.2亿美元
由Esports驱动,Micron Fast-Tracks Superfast GDDR6图形内存
优步调查女工程师的“令人憎恶”的性骚扰索赔
INFOSEC专业人士期待国家州的网络攻击增加
您的位置:首页 >产品 > 智能硬件 >

要惩罚赛门铁克,谷歌可能会使三分之一的网络SSL证书不信任

2021-08-08 12:44:03 [来源]:

谷歌正在考虑对重复事件的严厉惩罚,其中赛门铁克或其证书经销商签发了SSL证书。拟议计划是迫使公司替换其所有客户证书,并停止识别拥有它的人的扩展验证(EV)状态。

根据2015年的Netcraft调查,Symantec负责网络上使用的每三个SSL证书中的一个,使其成为世界上最大的商业证书发行人。由于多年来,该公司目前控制了几个以前独立证书机构的根证书,包括VeriSign,Geotrust,Thawte和RapidSSL。

SSL / TLS证书用于加密浏览器和启用HTTPS的网站之间的连接,也可以验证用户实际上是否访问他们打算而不是欺骗版本的网站。这些证书由被称为证书机构的组织颁发,这些组织在浏览器和操作系统中默认信任。

发布和管理证书的过程受CA /浏览器论坛创建的规则,该组织包括浏览器供应商和证书颁发机构的组织。当违反这些规则时,浏览器和操作系统供应商可以在违规证书中撤消信任并制定负责任的证书机构,并将其从根证书中删除。

谷歌表示,调查最近的事件表明,赛门铁克没有预先支持证书当局的安全实践,例如验证域名控制,审计日志,以便未经授权的发放的证据,尽量减少发布欺诈性证书的能力。

如果谷歌的计划付诸实践,在谷歌浏览器的未来12个月内将不受欢迎。这将是一个渐进的过程,每个新的Chrome释放都将使新批次的证书不信任Chrome 59,这将撤销在有效期超过33个月的证书中的信任。

这将对赛门铁克施加巨大压力,因为公司将不得不联系所有客户,验证他们的身份和域名的所有权,并再次用新的证书替换,最有可能没有成本。

一些公司可能会在短时间内替换证书的问题,因为它们可能用于付款终端和其他难以到达嵌入式设备。

除此之外,Symantec可能不得不退还支付为EV证书支付的客户,这将不再在Chrome中被识别,因为它们的价值将大大减少。禁止赛门铁克EV证书将持续一年。

赛门铁克签发的所有替换证书都需要有九个月或更短时间的有效期,以便在Chrome中受到信任。这可能会对一些大公司造成进一步的问题,其中赢得了每九个月可以轻松更换证书。

安全地说,谷歌的制裁可能对赛门铁克的SSL业务产生重大影响,因为公司可能会失去赢得愿意忍受这些限制的客户,并将他们的业务取得贡献不同的证书颁发机构(CA)。

浏览器供应商在不当发行证书 - 或“暗示”它们,在工业瞩目中遭到惩罚的CA - 但在这种规模中,从未在这种规模上并且在生态系统上的影响很大。有些人一直想知道浏览器供应商是否真的可以对世界上最大的CAS进行急剧制裁,或者这些当局是否太大而无法失败。

这种前所未有的惩罚的原因似乎是在过去几年中对赛门铁克的重复误导证书,其中一些公司尽管内部和外部审计,但该公司未能独自识别。今年未发现最新案例,涉及127份与虚假信息签发的证明书或未经作为注册机构(RA)运营的赛门特合作伙伴的域名所有权核实。

据谷歌,调查呼吁质疑赛门铁克合作伙伴在跨越几年的时间内发布的至少30,000次证明的有效性。但是,赛门铁克的争议是这个数字。

“Symantec允许至少四方访问其基础设施的方式,以造成证书颁发,并没有根据需要和预期充分监督这些能力,并且当有这些组织未能遵守适当的护理标准的证据时,失败为了及时披露这些信息或确定对他们所报告的问题的重要性,“Google”的Ryan Slevi在Chrome开发邮件列表中的帖子中表示。

这使得过去的事件已经领导了谷歌以“过去几年不再对赛门铁克的证书发布政策和做法有信心”,“Slevi说。

赛门铁克强烈反对谷歌计划并批评其出版物。它还描述了谷歌关于公司过去态度的言论,因为“夸张和误导”。

“这一行动出乎意料,我们相信博客职位是不负责任的,”公司在星期五的博客邮政中表示。“我们希望没有计算出于在互联网社区内创造有关我们的SSL / TLS证书的不确定性和怀疑。”

Symantec表示,关于30,000 Certficates的关于30,000 Certficates的索赔并没有导致任何消费者伤害的确认,并不导致负责该事件的合作伙伴的关系已被终止,并且其整个RA计划已停止。

据赛门铁克表示,虽然所有主要的CAS都经历了SSL / TLS证书错误发行事件,但谷歌已经在其提议中挑出了赛门铁克证书颁发机构,即使谷歌博客文章中涉及几个CAS,赛门铁克表示。

该公司将努力最大限度地减少谷歌的提案造成的任何潜在的中断,如果它向前发展,但与谷歌讨论此事并找到相同的解决方案。

与此同时,管理自己的根证书计划的Mozilla也考虑到赛门铁克的制裁,可能必须与谷歌对齐。

“现在谷歌已经宣布了他们的行动,不可避免地注意到,考虑到CA对CA采取广泛的行动的两个根商店可能是最优选的,因此CA对相同的行为”Mozilla“是不惩罚。 S Gervase Markham在组织的安全策略邮件列表中写道。

然而,马克姆指出,谷歌的计划是“在他正在考虑的选项的”强势终点“,并且校准了必须考虑到以前的先例和对其他CA的制裁的反应水平,这是一个艰难的过程。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。