在九月出现了赛门铁克子公司Thawte内部测试产生的多个SSL证书。其中一个证书就伪装成了google.com的合法证书,这就意味着它可以用来欺骗浏览器,让浏览器以为该连接是指向谷歌网站服务器的,但其实浏览器却连接到了一个潜在的恶意服务器。
巧克力工厂(Chocolate Factory)发现了这个流氓证书使用了他们的Certificate Transparency项目,从而大发雷霆:谷歌从未允许给Thawte生成证书,被赛门铁克的马虎激怒了。
而Thawte坚持说这个虚假证书从没有流出过实验室,绝对没有外面的任何公司获得过这个证书的副本。
由于担心Thawte的工程师玩弄高度敏感和强大的证书,谷歌要求进行全面的调查。赛门铁克确实发现了23个虚假证书,并且解雇了所有与此事有关的员工,同时还进行了全面的审查。
据谷歌的软件工程师Ryan sleevi称,这个互联网巨头还发现了更多的不在赛门铁克报告中提到的非法证书,并且要求其公司再仔细检查。果然,十月十二日,赛门铁克表示,他们有所发现,另外的164个流氓证书已经在未经许可的76个域名中发出,并且已经颁发了未登记的2458个域名了。
“这显然是有关证书颁发机构都会长期存在这样的问题,在证书被审计后,他们无法评估它的使用范围,”Sleevi在周三表示。
“因此,我们首先要求,截止2016年6月1日,赛门铁克发出的所有证书将必须要支持证书透明度(Certificate Transparency)。在这种情况下,non-EV证书的日志记录将可以提供更大的洞察力,可能方便我们提早的发现问题。”
如果赛门铁克希望其证书通过Chrome浏览器,谷歌已表示,该公司必须更新原始报告中的所有错误细节和解释。这个赛门铁克已经做到了(你可以在这查阅),但如果赛门铁克希望Chrome接受其证书还需要解决更多的难题。
赛门铁克还需要给谷歌一个详细的时间表,并记录每一个证书创建后它将用于做什么事情,并且要保证它不会再次被泄露。由于这涉及到商业机密信息,谷歌并不会公开这一信息。
此外,赛门铁克还必须聘请第三方安全审计人员进行全面的审计和检查,确保私其私人秘钥没有被曝光,而且,审计人员必须确保赛门铁克遵循以下守则的:
认证机构认证的原则和标准
认证机构认证的原则和底线–SSL网络安全
标准
认证机构认证的原则和标准–扩展验证
如果这第二次机会赛门铁克都没有把握好的话,到2016年,谷歌Chrome和其他的谷歌APP将警告网名不要信任任何来自赛门铁克的安全担保证书。
这将鼓励web开发者为它们的HTTPS-encrypted站点或类似服务使用Symantec-issued SSL证书,避免赛门铁克遭到破坏性的打击。
“虽然没有任何证据表明,对任何用户或组织造成了伤害和损失,但这种类型的产品测试是不符合我们致力于维护的政策和标准,”赛门铁克在一份声明中告诉The Register道。
“为了防止这种类型的测试在未来再次发生,我们已经把额外需要的工具,政策和流程保障到位,并且宣布开始实行所有证书的透明度记录。我们还聘请独立的第三方来评估我们的做法,此外我们的年度审计范围也扩大了。”
这事件可能还没完。Firefox-maker Mozilla已经考察了谷歌的提议,并且考虑坚持赛门铁克为他们做同样的守则,而其他组织也很有可能效仿他们的做法。
文章原文链接:https://www.anquanke.com/post/id/82822