科技企业之间因为竞争关系有点恩怨是正常不过的事情,不少科技企业更会通过“拉仇恨”的方式凝聚人气,甚至有老大和老二联手挤兑行业第三、第四的情况出现,可当一家企业向另一家企业举起封杀令的时候,这情况就有点特殊了。
谷歌封杀赛门铁克
谷歌最新表态,即日起,Chrome将不再承认赛门铁克签发的所有凭证。原本Chrome浏览器会在地址栏显示有效网址持有者,即赛门铁克的名称,但谷歌工程师Ryan Sleevi指出,从现在起至少一年间,谷歌不再显示该项目,这意味赛门铁克的凭证被降级为较不安全的网域凭证。
未来,谷歌更是计划通过Chrome升级逐渐废止赛门铁克旗下凭证机构签发的现有所有凭证。由于2015年赛门铁克签发的凭证占整个互联网所有有效凭证的30%,此举将导致数百万Chrome用户无法存取大量网站。
谷歌目前提出的惩罚措施包括:
1、将信任赛门铁克及其子公司签发的证书时间缩短至9个月,即超过9个月的不再信任;
2、将暂停信任赛门铁克及其子公司签发的扩展验证证书1年,扩展验证即地址显示公司名称的证书;
3、赛门铁克及其子公司需要将之前签发的问题证书吊销,然后重新签发合规的证书;
请注意:上述措施只是提议还未施行
赛门铁克觉得谷歌夸大了事实
目前赛门铁克与谷歌双方之间火药味十足,赛门铁克称不认同谷歌提出的建议以及30000个问题证书的数据。赛门铁克称该公司已经将有问题的127个数字证书吊销或者是重新签发,有关30000个问题证书实际为夸大。
对于有其他问题的证书赛门铁克承诺会为用户免费重新签发,但对于减少证书有效期问题赛门铁克无法接受。赛门铁克称支持谷歌有关减少签发证书的有效期的提议,但这会把整个行业的签发的证书有效期都给缩短了。
赛门铁克称该公司已经加强内部审核和对代理公司的审核,清退掉那些不符合安全政策的证书签发代理公司。最后赛门铁克称谷歌长期以来都在试图消灭掉扩展验证证书,但其他的浏览器仍然会继续认可扩展验证证书。
追溯到2015年的恩怨
谷歌日前正在安全群组中就赛门铁克证书管理系统混乱问题进行讨论,问题集中在赛门铁克内部审计的混乱。事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书。
谷歌认为,赛门铁克内部审计并不彻底,它花了几分钟就从 Certificate Transparency日志里发现了更多有问题的证书。赛门铁克随后证实,它发现了76个域名的164个问题证书,2456个未注册域名证书。谷歌批评赛门铁克连内部审计都做不好。它要求从2016年6月1日起,赛门铁克颁发的所有证书都必须支持Certificate Transparency,不支持的赛门铁克新颁发证书可能会在使用谷歌产品时出现问题。谷歌要求赛门铁克更新他们的报告,详细解释如何采取措施阻止类似事件发生。
浏览器和CA的相爱相杀
CA证书的原理来说起。我们平时使用浏览器时,经常看到一个绿色的小锁,它表明你进入的是真的,而不是伪造的网站,并且所有通信都会基于证书来进行加密。
CA机构掌握“生杀大权”,如何颁发证书全凭他说了算,浏览器只是一个验证的角色。签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有1天时间。
谷歌显然不愿意将这样的权限放给别人,于是乎,被抓住了马脚的赛门铁克成为了炮轰对象,当然,这样的争斗显然不可能在短期内结束,未来如何,还真可以搬根板凳坐着吃瓜看戏了。
本文转自d1net(转载)
