Google Mozilla指正Symantec认证机构操作问题事件始末

日期: 2017-05-11 作者:Peter Loshin翻译:张程程 来源:TechTarget中国 英文

去年,Google和Mozilla提出Symantec认证机构存在操作问题,并对解决方案提出了合理化建议。Symantec对此进行了响应,并对解决措施进行承诺……

2015年9月18日

Google使用证书透明度日志来抓取Symantec认证机构工作人员不正确地发布其不拥有的域(包括Google域名)的扩展验证证书。

这些证书是为测试目的发行的,Symantec和Google都认为这会让用户处于风险之中。赛门铁克宣布,已经发帖让涉及操作问题的员工为此负责,不过该帖子似乎已经从赛门铁克网站上删除。

2015年10月28日

经过一个月的审议,Google对Symantec CA颁发不正当证书的行为进行制裁。

Google宣布,Symantec认证机构必须提交扩展的第三方审核时间表,并要求赛门铁克遵守所有证书的证书透明度,从2016年6月1日起,且不仅是扩展验证证书。

2016年6月1日

赛门铁克必须符合证书透明度才能发布所有证书。

2017年1月19日

安全研究员Andrew Ayer使用证书透明度日志和报告,在2016年7月至2017年1月期间发现了Symantec认证机构颁发的108个不良证书。

Symantec通过撤销以前未被撤销的所有证书进行响应,并减少其合作伙伴颁发不正确证书的颁发特权。

2017年1月26日

鉴于经确定的不良证书数量已增加到127个,赛门铁克回应了Google关于错误发放证书的问题。赛门铁克表示正在审查其注册管理机构(RA)计划,并采取其他措施来审查与其合作伙伴和审核员提出的问题。该公司后来停止其RA计划。

2017年3月23日

Google Chromium浏览器开发团队报告说,其调查显示,过去几年Symantec认证机构发布或验证的证书多达30,000张,并提出了赛门铁克的不正确行为。

Google将不再认同并删除现有Symantec颁发的证书,将新的Symantec证书的有效期降低到9个月,要求对所有Symantec颁发的证书进行重新验证和替换,并从Symantec颁发的证书中删除扩展验证状态至少一年。

2017年3月24日

赛门铁克宣布终止其遭受困扰的注册管理机构计划,这是Google和Mozilla提出的一些问题的根源。

2017年3月26日

在反对Google提出的拒绝信任证书的计划的公告中,赛门铁克网站安全执行副总裁兼总经理Roxane Divol表示,该公司是“世界领先的认证机构之一”,“我们根据行业标准运营我们的CA”,Divol还写道:“我们不认为Google的建议符合互联网社群的最佳利益。”

2017年3月31日

根据Google的行动,Mozilla开发人员Gervase Markham发布了Chromium开发人员在论坛上提供的Symantec认证机构问题的完整列表,并要求Symantec进一步澄清。

Mozilla团队列出了与Symantec认证机构相关的14个问题,其中一些可追溯至2009年,包括在使用不推荐使用的算法的截止日期之后发布SHA-1证书、未经域名所有者许可发布域名证书,以及赛门铁克没有解决的审计中提出的问题。

2017年4月10日

赛门铁克对Mozilla开发人员论坛上提出的问题作出回应后,还提出了更多的问题。

Mozilla的Markham设定了2017年4月20日星期四为最后期限,赛门铁克对论坛上提出的问题进一步作出回应。

2017年4月20日

在Mozilla强调的最后期限之前,赛门铁克公司对Mozilla开发人员论坛中列出的证书颁发机构的问题进行了正式的回应,并要求有机会提供一个备用计划来恢复其证书的信任。

注意到WoSign在2016年被Mozilla从可信赖的证书颁发机构名单上撤了下来,Markham又提出了自己的替代计划。

2017年4月26日

赛门铁克提供一些建议来恢复对其认证机构的信任。声称其‘反提案’“解决了Google针对我们的CA业务提出的担忧,而不会对我们的客户和Chrome用户造成不必要的业务中断,如果Google实施其提案,我们认为会产生这种担忧,”赛门铁克提出进行额外的更为频繁的审核,并承诺其将解决业务问题。

2017年4月27日

Google的Chrome网络安全团队的软件工程师和技术主管Ryan Sleevi报告说,Symantec也可以选择另外一种做法,以让它成为一个值得信赖的认证机构:即有效地将Symantec认证机构的操作转移到一个或多个现有的CA,以及从头开始重建其公钥基础设施(PKI)。

2017年5月1日

Mozilla回应赛门铁克的‘反提案’,建议其选择第二种做法:将其认证机构的业务外包给一个或多个外部CA,这是目前的首选操作。

Markham指出,虽然构成赛门铁克反提案大部分的审计很重要,但它们不是认证机构的“行为保证人”。

Markham写道:“赛门铁克应认真考虑Google关于简化和恢复对公共PKI信任的建议。

2017年5月4日

赛门铁克重申有信心通过增加审计和流程改进来修复认证机构的问题,并承诺在2017年8月31日之前进行第三方审核,以确认其“发布流程良好”。

赛门铁克在一篇题为“赛门铁克公司继续公开对话”的博文中写道,赛门铁克拒绝Mozilla和Google将其业务外包给第三方的提议。

2017年5月7日

在Mozilla开发者论坛的一篇文章中,赛门铁克网站安全高级技术总监Rick Andrews宣布,赛门铁克公司与Google和赛门铁克公司高管之间“建立新的对话”,“达成新的提案”将减少对赛门铁克客户造成影响。

Google发言人证实,Chrome参与对话,但搜索巨头不再作出评论。

2017年5月9日

Mozilla撤回了其补救Symantec认证机构信任的方案。Markham写道,考虑到赛门铁克参与程度低,需要进一步恢复合规性,赛门铁克保留Mozilla可信赖的CA的唯一选择是将其CA运营转交给值得信赖的第三方。

赛门铁克没有回应关于该项提议。

2017年5月10日

在Chrome开发人员论坛上发布的文章中,Opera软件安全团队成员Tarquin Wilton-Jones表示,Opera浏览器可能会遵循Chromium对Symantec认证信任的操作,但他补充说,Opera团队“仍然会支持将Google的第二个提案(将CA流程外包给另一个CA)作为首选解决方案。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Peter Loshin
Peter Loshin

网站编辑

翻译

张程程
张程程

TechTarget中国编辑。专注报道企业级安全、网络领域的技术更迭和趋势变革,负责安全网站与网络网站的内容规划、组稿、原创和编辑。

相关推荐