微慑信息网

谷歌曝赛门铁克伪造证书:多个步骤减少信任

Google Chrome 工程师在开发者邮件列表上宣布将逐步减少对赛门铁克( Symantec )证书的信任。Google 发现赛门铁克旗下的 Root CA 在过去几年内未经同意签发了众多域名的数千个证书,其中包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。

赛门铁克( Symantec )是世界顶级的安全机构之一,也是世界知名的 ROOT CA 机构,非常多的知名站点均使用赛门铁克颁发的证书。

据外媒报道,12 月 15 日 Google 在其官方博客上宣布将不再信任由赛门铁克旗下 Thawte CA 颁发的 Class 3 Public Primary CA 根证书。Google 称,包括旗下 Google Chrome 浏览器、Android 系统以及其他的 Google 产品都将不再信任 Class 3 Public Primary CA 根证书。Google 还透露赛门铁克似乎并不愿意更换该证书,而 该证书已不能保证用户的安全。

Google Chrome 团队称,他们从 1 月 19 日开始调查赛门铁克的证书有效性,在调查期间发现有问题的证书数量从最初报告的 127 个暴涨到至少 3 万个。开发者称,他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:对赛门铁克新签发证书接受的有效期减少到 9 个月或更少;通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;移除对赛门铁克所签发证书的 Extended Validatio 状态的认可。Google 工程师称,他们发现赛门铁克公司允许至少四个第三方访问它的基础设施,甚至允许它们签发证书。

稿源:solidogfan,封面源自网络

 

from hackernews.cc.thanks for it.

本文标题:谷歌曝赛门铁克伪造证书:多个步骤减少信任
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2017/0325_75.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » 谷歌曝赛门铁克伪造证书:多个步骤减少信任
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们