（点击上方蓝字，快速关注我们）

转自：开源中国

最近谷歌 Chrome 工程师 Ryan Sleevi 宣布，伴随着赛门铁克最近及以前发布的一系列错误证书，谷歌不再信任赛门铁克过去几年的证书颁发政策，计划逐步降低对其证书的信任，对其新颁发证书的可接受有效期限制在9个月以内，并停止展示其EV SSL证书绿色地址栏等验证状态。

背景

自1月19日开始，Google Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入，根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加，已经从最初报告的127个问题证书扩展到至少30000个，而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误，这导致谷歌对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。

谷歌指出，赛门铁克未能确保正确的域名验证，对于申请特殊域名SSL证书的申请者身份审核草草了事。此外，赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核，也没有对这一缺陷进行改进。因此，谷歌认为赛门铁克没有足够的监督能力。

这已经不是谷歌第一次警告赛门铁克错误签发证书的问题：

2015年9月和10月，Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书，其中包括Google旗下的域名和不存在的域名。Google称其不能确定赛门铁克的该Root CA签发的证书将不会被用于拦截、破坏或冒充Google产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。

2015年12月，Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。

采取的措施

谷歌将采取措施，逐步降低对赛门铁克SSL证书的信任：

1、赛门铁克新颁发的SSL证书可接受的最大有效期缩短至9个月，在Chrome 61版本生效（预计9月12日发布）。

2、Chrome后续一系列版本，将对目前所有赛门铁克已颁发的SSL证书越来越不信任，并要求这些证书重新验证和替换。

• Chrome 59（Dev，Beta，稳定）：33个月有效期（1023天）

• Chrome 60（Dev，Beta，稳定）：27个月有效期（837天）

• Chrome 61（Dev，Beta，稳定）：21个月有效期（651天）

• Chrome 62（Dev，Beta，稳定）：15个月有效期（465天）

• Chrome 63（Dev，Beta）：9个月有效期（279天）

• Chrome 63（稳定）：15个月有效期（465天）

• Chrome 64（Dev，Beta，稳定）：9个月有效期（279天）

3、  立即删除赛门铁克EV SSL证书的扩展验证标识（如绿色地址栏、状态栏显示组织名称等），不少于1年，直至确信赛门铁克的颁发政策和做法值得放心。

赛门铁克的回应

在 Google 宣布不再信任赛门铁克的 SSL / TLS 证书后，赛门铁克也发表了声明回击 Google。

赛门铁克称，它以身为世界领先的认证机构之一而感到自豪，强烈反对 Google 在 Chrome 浏览器上针对赛门铁克证书的行动。谷歌的这一行动是出人意料且不负责任的，这样会在网上造成用户对赛门铁克证书的不确定性和疑虑。

赛门铁克认为，Google 有关赛门铁克证书签发政策和误发证书规模的声明存在误导性和夸大其词，真正证书误发的数量只有 127 个，而不是 Google 声称的错误签发了超过 3 万证书，而且这些证书并没有对消费者造成任何伤害。

赛门铁克还表示，所有大型的 CA 都发生过 SSL / TLS 证书误发的事件，但 Google 却不知为何专门把赛门铁克挑出来。现在正和 Google 公开讨论这起事件，希望能尽快解决。

觉得这条资讯有帮助？请转发给更多人

关注 技术最前线 ，看 IT 要闻