谷歌曝赛门铁克伪造证书：多个步骤减少信任

Google Chrome 工程师在开发者邮件列表上宣布将逐步减少对赛门铁克（ Symantec ）证书的信任。Google 发现赛门铁克旗下的 Root CA 在过去几年内未经同意签发了众多域名的数千个证书,其中包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。

赛门铁克（ Symantec ）是世界顶级的安全机构之一，也是世界知名的 ROOT CA 机构，非常多的知名站点均使用赛门铁克颁发的证书。

据外媒报道，12 月 15 日 Google 在其官方博客上宣布将不再信任由赛门铁克旗下 Thawte CA 颁发的 Class 3 Public Primary CA 根证书。Google 称，包括旗下 Google Chrome 浏览器、Android 系统以及其他的 Google 产品都将不再信任 Class 3 Public Primary CA 根证书。Google 还透露赛门铁克似乎并不愿意更换该证书，而 该证书已不能保证用户的安全。

Google Chrome 团队称，他们从 1 月 19 日开始调查赛门铁克的证书有效性，在调查期间发现有问题的证书数量从最初报告的 127 个暴涨到至少 3 万个。开发者称，他们对赛门铁克公司的证书签发政策和实践不再抱有信心，为了用户安全起见，他们决定采取多个步骤减少对赛门铁克所签发证书的信任：对赛门铁克新签发证书接受的有效期减少到 9 个月或更少；通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任，鼓励替换现有的证书；移除对赛门铁克所签发证书的 Extended Validatio 状态的认可。Google 工程师称，他们发现赛门铁克公司允许至少四个第三方访问它的基础设施，甚至允许它们签发证书。

稿源：solido、gfan，封面源自网络

from hackernews.cc.thanks for it.