因近年 Symantec 误发大量凭证,谷歌周四宣布即日起 Google Chrome 将逐步限制赛门铁克发出的 HTTPS 凭证。
2015 年 9 月,赛门铁克承认旗下 Thawte 凭证机构误发 Google.com 延伸验证凭证(Extended Validation,EV),并开除相关员工。
当时赛门铁克表示误发了 23 个凭证,但谷歌最近发现其实总量超过 3 万个。
这意味着众多使用者可能因此连上包含恶意程序的网站,导致个人资料或账号陷入被窃取的危险境地。
对此,谷歌非常气愤并表示要对赛门铁克实施制裁。
谷歌最新表态,即日起,Chrome 将不再承认赛门铁克签发的所有凭证。原本 Chrome 浏览器会在地址栏显示有效网址持有者,即赛门铁克的名称,但谷歌工程师 Ryan Sleevi 指出,从现在起至少一年间,谷歌不再显示该项目,这意味赛门铁克的凭证被降级为较不安全的网域凭证。
未来,谷歌更是计划通过 Chrome 升级逐渐废止赛门铁克旗下凭证机构签发的现有所有凭证。
由于 2015 年赛门铁克签发的凭证占整个互联网所有有效凭证的 30%,此举将导致数百万 Chrome 用户无法存取大量网站。
为了降低冲击,Chrome 将在未来新版 Chrome 中逐步缩短赛门铁克凭证的有效期限。
其中,在 Chrome 59 中,这些凭证有效期间为 33 个月,到 Chrome 64 时,将缩短为 9 个月。
对于谷歌制裁,赛门铁克表示不满,称谷歌的动作令人措手不及,且这种措施也相当不负责任。赛门铁克提醒 SSL/TLS 客户,目前"不用采取什么行动"。
然而,腾讯云最近发布了如下新闻:
近日,网上流传的《谷歌不再信任 Symantec 所有 SSL 证书》为一则虚假新闻,不吻合实际情况,特此澄清:
- 赛门铁克 SSL 证书签发 PKI 系统将要进行安全升级,谷歌为了督促赛门铁克此次更新,计划在 2018 年 10 月 23 号 Chorme70 版本发布开始,不再信任赛门铁克未更新的 PKI 系统签发的证书 ,而非不信任赛门铁克所有的 SSL 证书,这是一个严重的误读。
- 赛门铁克计划是在 2017 年 12 月 1 号启用全新版 PKI 认证系统。2017 年 12 月 1 号之前签发的 SSL 证书,由未更新的 PKI 系统签发且有效期超过 2018 年 10 月 23 号,会对客户免费重签发。因此 Symantec PKI 系统的更新对于用户来说绝对安全无影响。
- 关于赛门铁克出售 CA 证书业务,亦为虚假传闻,没有经过任何官方回应。
敬请关注赛门铁克官方即将发布的详细澄清回应,请您勿受虚假新闻误导,可安心购买赛门铁克 SSL 证书产品。
网友评论:
我是一只小小鸟:由于腾讯云这面的免费证书是由亚洲诚信签发的,我已经针对谷歌与赛门铁克的相关事件咨询过亚洲诚信:他们之间的一些事件并不影响产品的正常使用,而且 symantec 这边也已经把证书部分的业务 和 digcert 合作进行了。symantec 和亚洲诚信都会承诺,保证客户正常使用证书的。
digcert 与 symantec 会在今年年底左右做一个新 PKI 的计划的,但对于使用者来说,这部分内容并无需我们关心,是可以让我们平滑过渡的。
不知道大家怎么看,总之不到那一天我是不会相信网上所说的那些事情的,CNZKNET.COM 主域名下的证书是绝对不会进行更换的,毕竟 Symantec 证书在全球都那么有名。
如图: