• ?
    聯系我們

    廣東聯迪信息科技有限公司

    服務熱線

    網絡集成:400-899-0899

    軟件支持:400-8877-991

    咨詢熱線

    公司前臺:0756-2119588

    售前咨詢:0756-2133055

    公司地址

    珠海市香洲區興華路212號能源大廈二樓

    社會新聞
    當前位置 > 首頁 > 社會新聞

    巨頭懟巨頭:谷歌封殺賽門鐵克證書背后的恩怨情仇

    類別:社會新聞發布人:聯迪發布時間:2017-03-29

    近日,互聯網界一場關乎權威、信任、制裁的大戰拉開序幕,谷歌和賽門鐵克開撕,巨頭懟巨頭。(不太了解賽門鐵克(Symantec)的請自行谷歌)

    Google Chrome說:

    由于賽門鐵克CA(證書簽發機構)簽發了3萬多個有問題的證書,所以我們將逐步減少對賽門鐵克證書的信任。

    簡而言之就是:封殺!賽門鐵克CA為網站頒發證書,谷歌卻說他的證書有問題不可信,這已經是個原(da)則(lian)問題了。

    【一個老?!?/strong>

    打個不嚴謹的比方,一個很有聲望的教授經常為學生寫推薦信,推薦學生去知名公司上班,這時忽然有個知名的大公司跳出來說:“這教授推薦的人不行啊,三觀不正能力不行,完全是瞎搞!”然后列舉了許多他胡亂舉薦的例子,讓教授的公信力瞬間大打折扣,其他公司也不敢要他推薦的學生了。谷歌就是這個跳出來的公司,賽門鐵克就是寫舉薦信的教授。

    瀏覽器和CA的相愛相殺

    要了解此次谷歌和賽門鐵克互撕事件背后的利害關系,還得從CA證書的原理來說起。

    我們平時使用瀏覽器時,經??吹揭桓雎躺男∷?

    ,它表明你進入的是真的,而不是偽造的網站,并且所有通信都會基于證書來進行加密。CA機構給網站頒發證書(證書簽發機構, 簡稱“CA”),瀏覽器則會通過一些加密、哈希算法驗證證書是否有效,最后告訴用戶。

    據雷鋒網所知,證書一般分成三類:DV、OV、和EV,加密效果都是一樣的,區別在于:

    DV(Domain Validation),面向個體用戶,安全體系相對較弱,驗證方式就是向whois信息中的郵箱發送郵件,按照郵件內容進行驗證即可通過;

    OV(Organization Validation),面向企業用戶,證書在DV證書驗證的基礎上,還需要公司的授權,CA通過撥打信息庫中公司的電話來確認;

    EV(Extended Validation),URL地址欄展示了注冊公司的信息,這類證書的申請除了以上兩個確認外,需要公司提供金融機構的開戶許可證,要求十分嚴格。

    OV和EV證書相當昂貴。

    那么問題來了,CA機構掌握“生殺大權”,如何頒發證書全憑他說了算,瀏覽器只是一個驗證的角色。萬一CA胡亂頒發證書怎么辦?又或者,如果CA機構被黑客入侵導致證書泄露,造成了問題怎么辦?

    對于大多數普通用戶來說,一旦網站出現問題,他們只會認為:瀏覽器告訴我這個網站是可信的,可是我被黑了,瀏覽器騙了我,瀏覽器有問題!

    CA開心地賣證書賺錢,出了問題瀏覽器廠商也要背鍋。于是市場份額最大的Chrome開始了“找茬”之路。此次谷歌和數字證書領域的老大哥賽門鐵克交手,也并不是第一次。

    你出問題,我就找茬

    2011年3月,證書市場份額前列的科摩多(Comodo) 公司遭黑客入侵,七個Web域共9個數字證書被竊,包括:mail.google.com、addons.mozilla.org和login.yahoo.com等。當時有人稱那次事件為“CA版的911攻擊?!?

    同年,荷蘭的CA機構DigiNotar同樣遭到了黑客入侵,頒發了大量的偽造證書。由于這些偽造證書,數百萬用戶遭到了中間人攻擊。

    這些事件給人們敲響了警鐘,結束了人們盲目信任CA的時代,也為谷歌之后的一系列動作埋下了伏筆。

    2013年“棱鏡門事件”爆發,斯諾登泄露的文件中透露:美國國家安全局就利用一些CA頒發的偽造SSL證書,截取和破解了大量HTTPS加密網絡會話。

    谷歌再也坐不住了,同年便發起了證書透明度政策(Certificate Transparency,簡稱CT)。這一政策的目標是提供一個開放的審計和監控系統,讓任何域名所有者或者CA確定證書是否被錯誤簽發,或者被惡意使用,從而提高 HTTPS 網站的安全性。

    這個計劃具體是這么來做的:

    要求CA公開其頒發的每一個數字證書的數據,并將其記錄到證書日志中。

    這個項目并沒有替代傳統的CA的驗證程序,但是谷歌起到了一個監督CA的作用,用戶可以隨時查詢來確保自己的證書是獨一無二的,沒別人在使用你的證書,或者偽造你的證書。

    證書透明度將讓人們可以快速地識別出被錯誤或者惡意頒發的數字證書,以此來緩解可能會出現的安全問題,例如中間人攻擊。

    之后的幾年里,證書透明度系統和監控服務也確實幫助了不少網站檢測出了偽造證書,比如幫助facebook團隊發現了不少偽造其證書的子域名網站。

    從那時開始,瀏覽器廠商和CA機構之間的其妙關系就開始導致了更多事情。

    不再信任中國CNNIC數字證書

    2015年4月,谷歌和火狐瀏覽器都宣布不再信任中國CNNIC數字證書,原因是埃及MCS Holding公司使用CNNIC簽發的中級證書為多個Google域名簽發了假的證書。雖然后來調查發現這事是中國CNNIC授權的證書發布代理商干的,但并沒有改變他們的決定。

    和賽門鐵克交手

    2015年9月和10月,Google稱發現賽門鐵克旗下的Thawte未經同意簽發了眾多域名的數千個證書,其中包括Google旗下的域名和不存在的域名。

    賽門鐵克當時的解釋是:“那批證書只是一個測試證書,僅測試一天就吊銷了,沒有泄露出去也沒有影響到用戶”。賽門鐵克隨后還是炒掉了相關的雇員。 然而這一系列動作并沒有改變谷歌的對此事的決策。

    2015年12月,Google發布公告稱Chrome、Android及其他Google產品將不再信任賽門鐵克(Symantec)旗下的"Class 3 Public Primary CA"根證書。

    中國沃通遭眾瀏覽器“群毆”

    2016年1月1日,各大瀏覽器廠商開始停止接受一些用陳舊的SHA-1算法進行簽名的證書,因為SHA-1算法已經被證實可破解,偽造證書的成本比較低。

    為了規避SHA-1停用策略,沃通將證書的簽發時間倒填成2015年12月份。但是很快就被Mozilla基金會發現,然后:

    Mozilla基金會(火狐瀏覽器)決定沃通和其旗下StarSSL簽發的證書;

    蘋果將沃通的根證書從證書存儲庫中移除;

    Chrome 56開始,不再信任沃通及被其收購的StartCom于2016年10月21日之后所頒發的證書,直到最終完全移除對這兩個CA的信任!

    在推動證書的升級、機制的優化方面,瀏覽器廠商顯得更加積極主動。谷歌對CA機構的公開催促就是最好的證明。2016年10月,谷歌通過公開郵件組發布公告:

    2017年10月后簽發的所有公開信任的網站SSL證書將遵守Chrome的證書透明度政策,以獲得Chrome的信任。

    平衡將要打破?

    谷歌似乎也發現自己招惹的CA機構越來越多了,但是他們干脆一不做二不休,自己來做CA。2017年1月26日,谷歌宣布,為了能夠更快速地處理Google產品的SSL/TLS的證書需求,谷歌將建立自己的ROOT CA(根證書頒發機構)。

    當時,這一做法便引來了許多網友的質疑:“Google又做瀏覽器又做CA,這樣真的好嗎?”

    谷歌手握全球覆蓋率最高的瀏覽器Chrome,并在CAB forum國際標準組織中扮演重要角色,掌握著全球CA機構的生殺大權,擁有不信任任意一家CA根證書的權利,如今又建立自己的CA機構。這可能會使全球瀏覽器和CA市場的格局發生顯著變化。

    回到此次谷歌和賽門鐵克對撕事件:谷歌稱發現賽門鐵克2015年曾誤發了超過3萬個證書。賽門鐵克則回應那次誤發的數量只有127個,谷歌在夸大其詞。

    在雷鋒網編輯看來,具體的數字對于整體的局勢來說其實并不重要,因為不會改變雙方對于證書信任問題的對立關系。

    賽門鐵克此次表示,所有大型的 CA都發生過SSL / TLS證書誤發的事件,但Google卻不知為何專門把賽門鐵克挑出來。Mozilla基金會(火狐瀏覽器)最近也在考慮對賽門鐵克進行制裁,并可能和 Google的行動保持一致。

    顯然,在CA這件事上,谷歌背后有Mozilla、Opera等眾多瀏覽器供應商,賽門鐵克的背后也是眾多CA機構。只要信任、安全的問題依然存在,這一系列的爭端、對立未來也必將將延續下去。但無論如何,加密算法更迭、機制更加透明……這些事情確確實實在發生,我們普通用戶總是受益的一方。

    ?
    {ganrao} 韩国足球即时赔率 幸运11选5基本走势图 辽宁十一选五 nba比分直播网 正宗杭州麻将下载 江苏十一选五玩法 今天的3d开奖结果 澳洲幸运10澳大利亚 国标麻将有几张牌 河北体彩排列五走势图 日本av女优做爱下载 东北麻将技巧 卡五星微信群2元买马群 黑龙江11选5奖金 30选5基本走势图2元网 湖北‖选五开奖结果