Google Chrome 工程师在开发者邮件列表上宣布将逐步减少对赛门铁克( Symantec )证书的信任。Google 发现赛门铁克旗下的 Root CA 在过去几年内未经同意签发了众多域名的数千个证书,其中包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。
赛门铁克( Symantec )是世界顶级的安全机构之一,也是世界知名的 ROOT CA 机构,非常多的知名站点均使用赛门铁克颁发的证书。
据外媒报道,12 月 15 日 Google 在其官方博客上宣布将不再信任由赛门铁克旗下 Thawte CA 颁发的 Class 3 Public Primary CA 根证书。Google 称,包括旗下 Google Chrome 浏览器、Android 系统以及其他的 Google 产品都将不再信任 Class 3 Public Primary CA 根证书。Google 还透露赛门铁克似乎并不愿意更换该证书,而 该证书已不能保证用户的安全。
Google Chrome 团队称,他们从 1 月 19 日开始调查赛门铁克的证书有效性,在调查期间发现有问题的证书数量从最初报告的 127 个暴涨到至少 3 万个。开发者称,他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:对赛门铁克新签发证书接受的有效期减少到 9 个月或更少;通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;移除对赛门铁克所签发证书的 Extended Validatio 状态的认可。Google 工程师称,他们发现赛门铁克公司允许至少四个第三方访问它的基础设施,甚至允许它们签发证书。
from hackernews.cc.thanks for it.