谷歌怒了,打脸赛门铁克失误数字证书
作者:星期日, 十一月 1, 20150

谷歌在九月份抨击安全软件巨头赛门铁克为其谷歌web域(Google.com)误发出的数字证书。

640.webp (1)

9月14日,格林威治时间19点20左右,赛门铁克的Thawte证书颁发机构颁发了google.com和www.google.com域的拓展验证(EV)预备证书。但是该证书并没有获得谷歌的授权。

“我们发现由证书透明日志发布的消息称,谷歌浏览器从今年1月1日开始需要EV证书。这项预备证书的发布被同时记录在谷歌和DigCert的操作日志上。”

“在与赛门铁克讨论的过程中我们了解到这次事件发生在他们的内部测试过程中。”谷歌声称。

在谷歌对外公布了他们的发现之后,赛门铁克开除了与此次发布未经授权的证书事件相关的员工。

这次事件会引发一系列网络安全事故,因为利用虚假证书可以截获并且解密信用卡数据、浏览器插件和其他谷歌中的加密传输。

“尽管他们都接受过我们严格的寄宿安全培训,但是我们发现有几个优秀员工没能遵循制度。虽然是出于好意,但是他们的错误在最终的细致入微的审查过程中被发现,这也是他们被开除的原因。”赛门铁克的工程副总裁刘昆廷(音译)这样说到。

然而,在此消息发布后,谷歌的软件工程师Ryan Sleevi很快就透露,这件事情不会轻易了结。

Sleevi说,尽管赛门铁克承认了这是自己的失误,谷歌仍旧能够找到更多有误的数字证书。进一步审计过后,赛门铁克公司承认的确还有更多的“漏网之鱼”,包括164个覆盖超过76个域的证书以及2458个未被注册域的证书。

所以谷歌正在计划所有由赛门铁克发布的证书都必须支持证书透明,证书透明是从2016年6月开始试实行的IETF开放标准和开放源码框架,用以监视、审核数字证书。“从那以后,赛门铁克新发布的证书,只要不符合证书透明度政策,都有可能在使用谷歌产品时导致插播和其他问题。”Sleevi警告道。

他继续说道“更紧要的是,我们希望他们能够及时向大众汇报事故进展的这些方面:

1. 一份具体的分析,说明为什么我们能够发现额外的有误证书,而他们不能;

2. 每个失误的细节报告,说明他们对于故障维护的相关基准要求以及EV指南的具体内容。解释为什么他们相信错误的根本原因在于个人。

“我们还希望赛门铁克能够向我们提供一套详细的步骤和大概能够完成工作的时间表,这样我们能大概得知他们将如何纠正和预防失误。赛门铁克想要保密时间表信息,所以我们不要求他们公示这部分内容。”

“在这些纠正措施实施之后,我们希望赛门铁克能够接受情况评估和第三方安全审计。”

此外他还补充道,谷歌有权采取进一步行动,使之变成对其可用的附加信息。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章