赛门铁克称谷歌关于该公司证书调查数据被严重夸大

简介:

谷歌日前正在安全群组中就赛门铁克证书管理系统混乱问题进行讨论,问题集中在赛门铁克内部审计的混乱。事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书。

签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有 1 天时间。

随后谷歌反应强烈并立即向赛门铁克通报了此事,赛门铁克则是立即开除了这名雇员并开始内部的审计调查。

经过调查发现赛门铁克签发的证书除了谷歌之外还有挪威著名浏览器Opera,并还有127个相关的数字证书。

这意味着赛门铁克并没有严格的执行内部审计,随意签发数字证书会让整个互联网陷入安全危机和恐慌之中。

目前谷歌称发现的问题数字证书远远不止27个,在谷歌安全群组中讨论和透露的数据显示问题证书约3万个。

32986.png

  (赛门铁克旗下公司签发的问题证书,目前已吊销)

谷歌目前提出的惩罚措施包括:

1、将信任赛门铁克及其子公司签发的证书时间缩短至9个月,即超过9个月的不再信任;

2、将暂停信任赛门铁克及其子公司签发的扩展验证证书1年,扩展验证即地址显示公司名称的证书;

3、赛门铁克及其子公司需要将之前签发的问题证书吊销,然后重新签发合规的证书;

请注意:上述措施只是提议还未施行,国内部分媒体所称的已经停止信任赛门铁克所有证书是谣言。

赛门铁克是如何看待谷歌的提议的?

目前赛门铁克与谷歌双方之间火药味十足,赛门铁克称不认同谷歌提出的建议以及30000个问题证书的数据。

赛门铁克称该公司已经将有问题的127个数字证书吊销或者是重新签发,有关30000个问题证书实际为夸大。

对于有其他问题的证书赛门铁克承诺会为用户免费重新签发,但对于减少证书有效期问题赛门铁克无法接受。

赛门铁克称支持谷歌有关减少签发证书的有效期的提议,但这会把整个行业的签发的证书有效期都给缩短了。

注:缩短证书有效期通常来说可以提高安全性,因为即使证书被泄露出去未被发觉到期也会自动过期。

赛门铁克称该公司已经加强内部审核和对代理公司的审核,清退掉那些不符合安全政策的证书签发代理公司。

最后赛门铁克称谷歌长期以来都在试图消灭掉扩展验证证书,但其他的浏览器仍然会继续认可扩展验证证书。

赛门铁克将会继续签发扩展验证证书来给客户提高信任度,同时也会继续与谷歌和其他品牌浏览器进行商讨。

*注:扩展验证证书即Extended Validation Certificate,浏览器地址栏会详细显示证书所有者的公司名称。

本文转自d1net(转载)

目录
相关文章
警惕:全球裁员导致公司敏感数据大量流失
金融危机引发的经济衰退导致北美许多公司大幅裁员。人们几乎每天在新闻中都可以看到公司裁员的消息。裁员当然可以使这些公司减少因金融危机带来的资金压力,但同时也可能因公司管理措施不到位而为公司留下后患,使竞争者从中获利。
930 0
|
人工智能 自动驾驶
苹果华裔员工涉嫌窃取商业机密遭逮捕,但事情没那么简单
根据消息显示,张晓浪一旦罪名成立,他将面临10年监禁以及25万美元的处罚。众所周知,知识产权一直受到各大科技巨头的高度重视,而在今天中美关系如此紧张的局势下,这个事情的发生势必会一石激起千层浪,引起强烈反响。
1722 0
|
云安全 机器学习/深度学习 人工智能
金融安全资讯精选 2017年第十期 中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要
中国台湾远东银行遭黑客入侵被盗六千万美元,GDPR成了欧洲企业“最担心的挑战”,CISO在企业中的位置会变得更加重要,DNSMASQ多高危漏洞公告,阿里云安全数据智能团队负责人观点:安全算法,时代风口的交叉点
2124 0
|
安全
以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司
本文讲的是以云为跳板,疑似中国黑客组织黑进全球知名IT服务公司,攻击了至少14个国家的运营管理供应商(MSP)的黑客活动据称与“APT10”组织有关,而该组织一直被认为属于中国。事实究竟如何?本周普华永道与BAE Systems(世界第三大军工企业)共同发布了一份名为《Operation Cloud Hopper》的报告,报告中得出了一些结论。
1753 0
|
安全
火眼急眼 将披露其产品漏洞的公司告上法庭
本文讲的是火眼急眼 将披露其产品漏洞的公司告上法庭,这场两个安全公司之间的口水战显示出漏洞提交是一件非常敏感的事,尤其是流行软件产品的漏洞。
1181 0