这几天

一场关乎权威、信任、制裁的大战拉开序幕。

谷歌对撕赛门铁克 

（不了解赛门铁克的请自行谷歌）

两个行业大佬互怼，你猜会发生什么？

---

事情是这样的

Google Chrome 说：由于赛门铁克 CA（证书签发机构）签发了大量有问题的证书，所以我们将逐步减少对赛门铁克证书的信任

用一个词语来形容就是

封杀！

赛门铁克CA为其他机构颁发证书

谷歌却说他的证书有问题不可信，

这是牵扯到原（da）则（lian）问题了

打个不严谨的比方

一个很有声望的教授经常为学生写推荐信

推荐学生去名牌公司上班

忽然

有个知名的大公司跳出来说

这教授推荐的人不行啊

三观不正 能力不行，

完全是瞎搞

然后列举了许多他胡乱举荐的例子

让教授的公信力瞬间大打折扣

其他公司也不敢要他推荐的学生了

谷歌就是这个跳出来的公司

赛门铁克就是写举荐信的教授

要了解其中的利害关系，

还得从 CA证书的原理来说起

我们平时使用浏览器的时候，

经常看到一个绿色小锁 

表明你进入的是真的网站，

而不是伪造的网站，

所有通信都会基于证书来进行加密

CA机构给网站颁发证书

（证书签发机构， 简称“CA”）

浏览器来验证证书的真假

它会通过一些加密、哈希算法

验证证书是否有效

证书一般分成三类： DV、OV 、和 EV ，加密效果都是一样的，它们的区别在于：（注意了，这是知识点）

DV（Domain Validation），面向个体用户，安全体系相对较弱，验证方式就是向 whois 信息中的邮箱发送邮件，按照邮件内容进行验证即可通过；

 

OV（Organization Validation），面向企业用户，证书在 DV 证书验证的基础上，还需要公司的授权，CA 通过拨打信息库中公司的电话来确认；

 

EV（Extended Validation），URL 地址栏展示了注册公司的信息，这类证书的申请除了以上两个确认外，需要公司提供金融机构的开户许可证，要求十分严格。

然后，OV 和 EV 证书相当昂贵。

于是矛盾来了

CA机构掌握“生杀大权”，

如何颁布证书全凭他说了算，

浏览器只是起到一个验证的角色。

那么，

万一 CA 胡乱颁发证书怎么办？

又或者

如果他们被黑客入侵导致证书泄露

造成了问题怎么办？

2011年3月，证书市场份额前列的 Comodo 公司（科摩多）遭黑客入侵，七个Web域共9个数字证书被窃，包括：mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。

有人称那次事件为 “ CA版的911攻击。”

同年，荷兰的 CA机构 DigiNotar 同样遭到了黑客入侵，颁发了大量的伪造证书。由于这些伪造证书，数百万用户遭到了中间人攻击。

这些事件给人们敲响了警钟，结束了人们盲目信任CA的时代，同时也为谷歌之后的一系列动作埋下了伏笔……

对于许多普通用户来说，

一旦网站出现问题，他们只会认为：

浏览器告诉我这个网站是可信的

可是我被黑了

浏览器骗了我

浏览器真垃圾

CA 开心地卖证书赚钱

出了问题浏览器也要背锅

谷歌忍不住了

于是谷歌开始了“找茬”之路……

2013年“棱镜门事件”爆发后，斯诺登泄露的文件中透露：

美国国家安全局就利用一些 CA 颁发的伪造 SSL 证书，截取和破解了大量 HTTPS 加密网络会话。

同年，谷歌就发起了证书透明度政策

（Certificate Transparency，简称CT）

（又是知识点啊）

目标是提供一个开放的审计和监控系统

它要求

每个CA公开其颁发的每个数字证书的数据

并将其记录到证书日志中

用户可以随时查询

确保自己的证书是独一无二的

没别人在使用你的证书

或者伪造你的证书

简而言之，

证书透明度能帮助提高上网的安全性

之后的几年里，

证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书，

比如助 facebook 的子域名网站。

此后，谷歌一直奔走在“找茬”的路上

 2015年4月，

中国CNNIC数字证书被代理商坑了

谷歌和火狐浏览器都宣布不再信任中国CNNIC数字证书，

原因是：埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。

虽然后来调查发现

这事是中国CNNIC授权的证书发布代理商干的

但并没有改变浏览器们的“封杀”决定

2015年9月和10月

谷歌和赛门铁克交手

（终于讲到赛门铁克了）

Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书，其中包括 Google 旗下的域名和不存在的域名。

赛门铁克当时的解释是：

那批证书只是一个测试证书，仅测试一天就吊销了。没有泄露出去，没有影响到用户，赛门铁克随后还是炒掉了相关的雇员。

然而赛门铁克的做法

并没有改变谷歌的对此事的决策

2015年12月，Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。

2016年1月1日 起

各大浏览器厂商开始停止接受

SHA-1 算法进行签名的证书

因为不太安全

但是中国的证书机构沃通想了个办法

并将签发时间倒填成2015年12月份

就可以继续使用SHA-1算法签名啦！

但是很快他们就被浏览器厂商发现

并围殴

• Mozilla基金会 （火狐）封杀沃通和其旗下StarSSL签发的证书；

• 苹果将沃通的根证书从证书存储库中移除；

• Chrome 56 开始，不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21 日之后所颁发的证书，直到最终完全移除对这两个 CA 的信任！

谷歌似乎干得越来越起劲了

2016年10月，

谷歌通过公开邮件组发布公告:

2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策，以获得Chrome的信任。

“10月份就是Deadline了，CA机构们抓紧时间了”

到了2017年1月份

谷歌似乎也发现自己招惹的CA机构越来越多了

于是干脆一不做二不休，

自己来做CA！

2017年1月26日，谷歌宣布：为了能够更快速地处理Google 产品的SSL/TLS 的证书需求，谷歌将建立自己的ROOT CA

谷歌手握全球覆盖率最高的浏览器Chrome

在CAB forum国际标准组织中扮演重要角色

掌握着全球CA机构的生杀大权

拥有不信任任意一家CA根证书的权利

而与此同时自己也掌握着一家CA机构

全球浏览器和CA市场的格局将……

回到此次谷歌和赛门铁克对撕的事件

上面说到

2015年9月那次

赛门铁克旗下Thawte凭证机构误发证书事件

当时赛门铁克表示误发了23个凭证

但谷歌称最近发现其实总量超过3万个。

然后赛门铁克回应

真正证书误发的数量只有 127 个

而不是 Google 声称的错误签发了超过 3 万证书，

谷歌有些夸大其词

23个、127个、3万个……

似乎怎么也对不上号

然而具体的数字对于整体的局势来说

并不重要，

不会改变双方对于证书信任问题的对立关系。

赛门铁克表示，所有大型的 CA 都发生过 SSL / TLS 证书误发的事件，但 Google 却不知为何专门把赛门铁克挑出来。

Mozilla基金会（火狐） 最近也在考虑对赛门铁克进行制裁，

并可能和 Google 的行动保持一致。

很明显，

在CA这件事上，

谷歌背后是众多浏览器供应商，

赛门铁克的背后是众多CA机构

只要信任、安全的问题依然存在，这一系列的争端、对立未来也必将将延续下去。

但无论如何，证书加密算法更迭、机制更加透明……这些事情一直在发生，谷歌、Mozilla等浏览器搞起来这些事情，浏览器和CA互怼，最终普通用户将是受益的一方……

继续围观……

以上内容全是谢幺的胡说八道，如有雷同，帮我举报一下。

- End -