与其他CA合作签发证书 谷歌赛门铁克之争接近尾声

by admin on 2020年3月17日

由于使用了旧的安全证书,互联网上的数千个网站将会在谷歌发布 Chrome 70
后受到影响 —— 访问这些网站的用户将会收到浏览器提示的安全警告。这是因为
Google 已放弃对赛门铁克在2016年6月之前发布的 HTTPS 安全证书的信任。

由于赛门铁克 CA 过去几年被发现签发了大量有问题的证书,包括 2015 年在
Google 不知情下为 Google 域名颁发了有效期一天的预签证书,Google
去年宣布从 2018 年 10 月 23 日发布的 Chrome 70
将停止信任赛门铁克的旧证书。Chrome 的测试版本 Chrome Canary
已经停止信任赛门铁克证书。

图片 1

一年多前,当谷歌发现赛门铁克不正当地颁发安全证书时,谷歌方面就警告说它将放弃对来自赛门铁克受影响的批量证书的支持。简单来说,赛门铁克在2016年6月之前发布的安全证书都将不会受到
Chrome 70
的信任。因为谷歌早已在一年前就已公布时间表,所以 Web
开发者有一年多的时间来准备此更改。

现在,Mozilla 宣布它的测试版本 Firefox Nightly 63
将停止信任赛门铁克签发的证书,用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla
建议网站所有者尽可能快的替换旧证书。

上周五,谷歌和赛门铁克促成了一项提议,将允许赛门铁克在一定条件下继续颁发SSL证书。这是继今年年初被发现违规误发证书和被谷歌提出取消信任之后,赛门铁克与谷歌的第一次正式协商方案。

图片 2

图片 3

谷歌和赛门铁克都指出,提议中的一些具体细节可能会改变,但是他们趋近于“一个解决安全风险和减轻中断的良好平衡的提案”。

安全研究员斯科特·赫尔姆(Scott Helme)在 Alexa 排名前 100
万个网站中发现超过 1000
个网站依然使用赛门铁克旧的安全证书,这些网站可能会受到谷歌推出 Chrome 70
的影响,其中包括一些来自印度和特拉维夫的知名政府网站。

来自:cnbeta.com

之前的谷歌提案涉及到对赛门铁克证书的一系列复杂的限制,以及对现有证书的分级不信任。这将使赛门铁克及其客户陷入棘手的境地,因为赛门铁克将不得像与其他CA一样提供相应的服务。

据 TechCrunch
报道,除赛门铁克证书外,在2016年6月之前使用
Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL 颁发的证书的网站也将受到
Chrome 70 的影响。

根据新提案,赛门铁克将与其他CA合作,继续发行证书,同时重新启动自己的业务。执行此计划所需的大部分工作将由赛门铁克本身进行。用户将看到相对较少的更改,并且可以获得对他们没有任何限制的新证书。

(文/开源中国)    

对于浏览器,将新旧的赛门铁克证书与新的根证书分开是非常重要的。这使他们有能力通过技术措施来控制哪些证书是可信的,而不是那些听上去更靠谱的政策。

这个提议的亮点在于:

与以前的计划一样,这些操作适用于所有赛门铁克运营的CA,其中包括GeoTrust,Thawte和RapidSSL。

从8月8日起,赛门铁克证书将需要由“托管CA”发出 –
赛门铁克与其合作的另一个认证机构。 目前还不知道谁将与赛门铁克合作。

这些证书将由现有赛门铁克根证书交叉签署,可以让信任赛门铁克的现有根源的各种传统设备的新证书受到信赖。

此管理CA颁发的证书不会面临任何独特的限制。这意味着赛门铁克证书将能够按照行业标准规则颁发。他们的EV证书将继续使用绿色地址栏UI显示。

2016年6月1日之前发布的现有证书(当赛门铁克证书需要遵守Chrome的证书透明度政策时)需要更换。
Chrome将在8月份的两个阶段(Chrome 62的发行版)中不信任这些证书。

2016年6月1日以后发行的现有证书不受影响。这些证书的所有者不需要重新验证/重新发行,或看到有效期的任何减少。
EV证书将继续拥有EV UI。

尽管如此,赛门铁克还将向谷歌和社区提供审计和报告,以显示其修复导致其违规的错误的进度。他们还将努力向根程序提交新的根证书,以便在技术上可行的方式再次开始验证和颁发证书。

赛门铁克的合作伙伴CA将继续处理发行和验证,直到赛门铁克的新根证书被接受到信托商店。对于任何一家公司来说,这都不算什么,包括经验丰富的CA。虽然一些根源程序(如Mozilla)是透明和有据可查的,但其他(比方说苹果)就像城市传说一样,可以花更长的时间来处理。

赛门铁克可能需要两年或更长时间才能将所有内容重新置于内部。但与此同时,他们的客户将继续能够购买和使用证书,而且没有复杂或不方便的限制。

再次注意,这还不是一个最终的计划。虽然这个过程看起来很艰巨,但考虑到赛门铁克业务的规模是有道理的。赛门铁克星期五表示,“仔细审查这项建议,并将尽快回应社区的意见反馈。”我们预计将尽快进行最后的调整,届时我们将发布有关即将发生的变更和行动的更多细节赛门铁克证书用户需要做好准备。

Mozilla与谷歌类似:它提出了一个仍然需要进行微调的计划。
它与谷歌非常相似,其中一个主要区别是赛门铁克证书将限于400天的有效期。
Mozilla也在辩论这样的想法,即在新的PKI启动时,赛门铁克需要外包CA的职责。
Mozilla意识到赛门铁克将不得不遵循所有根目录中最严格的规则,因此Mozilla正试图将其计划与谷歌的相提并论。

同行业的规范一样,微软和苹果都表示很少,也没有公开声明他们将要做什么。
历史上,他们的根程序更宽松,因此在确定对用户的影响时不太重要。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图