信息來(lái)源:FreeBuf
Google宣布在接下來(lái)的幾周�����,Google會(huì)在Chrome、Android和其他Google產(chǎn)品中將把賽門(mén)鐵克頒發(fā)的“Class 3 Public Primary CA”根證書(shū)設(shè)為不可信�����。
接下來(lái)的幾周,Google會(huì)在所有的Chrome�、Android和Google產(chǎn)品中將把賽門(mén)鐵克頒發(fā)的“Class 3 Public Primary CA”根證書(shū)設(shè)為不可信����。我們這么做是為了回應(yīng)賽門(mén)鐵克公司的通知,這份通知稱����,自2015年12月1 日起,賽門(mén)鐵克決定此根證書(shū)不再遵從CA/瀏覽器論壇的基準(zhǔn)要求�。由于這些基準(zhǔn)要求反映的是行業(yè)的最佳方案,是證書(shū)可信的基礎(chǔ)��,拒絕遵守這些要求會(huì)給Google產(chǎn)品的用戶帶來(lái)巨大風(fēng)險(xiǎn)���。
賽門(mén)鐵克已經(jīng)告知我們���,他們不會(huì)將此證書(shū)用于其它目的。但是����,由于此根證書(shū)不會(huì)在遵守CA/瀏覽器論壇的基準(zhǔn)要求,Google公司不能保證此根證書(shū)或以此根證書(shū)簽發(fā)的其他證書(shū)不會(huì)被用來(lái)攔截��、干擾或偽造用戶們的加密通訊。由于賽門(mén)鐵克公司拒絕說(shuō)明這些證書(shū)的新用途���,并且他們知曉這對(duì)Google用戶們的風(fēng)險(xiǎn)���,他們已經(jīng)請(qǐng)求Google采取預(yù)防措施移除這款根證書(shū)。這個(gè)措施非常有必要���,因?yàn)檫@款根證書(shū)在Android��、Windows�����、和早于10.11版本的OS X 系統(tǒng)中都是可信的����。
賽門(mén)鐵克表示�,他們不認(rèn)為他們運(yùn)行安全網(wǎng)站的客戶們會(huì)受此影響,賽門(mén)鐵克還表示�,據(jù)他們所知,訪問(wèn)使用了賽門(mén)鐵克證書(shū)的網(wǎng)站的客戶們也不會(huì)受此影響����。遇到問(wèn)題的用戶們可以聯(lián)系賽門(mén)鐵克技術(shù)支持��。
根證書(shū)的更多技術(shù)信息:
Friendly Name: Class 3 Public Primary Certification Authority
Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
Public Key Hash (SHA-1): E2:7F:7B:D8:77:D5:DF:9E:0A:3F:9E:B4:CB:0E:2E:A9:EF:DB:69:77
Public Key Hash (SHA-256):
B1:12:41:42:A5:A1:A5:A2:88:19:C7:35:34:0E:FF:8C:9E:2F:81:68:FE:E3:BA:18:7F:25:3B:C1:A3:92:D7:E2
MD2 Version
Fingerprint (SHA-1): 74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2
Fingerprint (SHA-256): E7:68:56:34:EF:AC:F6:9A:CE:93:9A:6B:25:5B:7B:4F:AB:EF:42:93:5B:50:A2:65:AC:B5:CB:60:27:E4:4E:70
SHA1 Version
Fingerprint (SHA-1): A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B
Fingerprint (SHA-256): A4:B6:B3:99:6F:C2:F3:06:B3:FD:86:81:BD:63:41:3D:8C:50:09:CC:4F:A3:29:C2:CC:F0:E2:FA:1B:14:03:05
假證書(shū)現(xiàn)象
今年10月��,賽門(mén)鐵克旗下的Thawte CA在Google不知情下為google.com和 www.google.com域名頒發(fā)了一個(gè)擴(kuò)展驗(yàn)證前證書(shū)(Extended Validation pre-certificate)�。Google是從Chrome自動(dòng)轉(zhuǎn)發(fā)的證書(shū)透明度日志中發(fā)現(xiàn)這一情況��。Google和賽門(mén)鐵克討論了這個(gè)問(wèn)題���,對(duì)方證實(shí)證書(shū)是在內(nèi)部測(cè)試流程中頒發(fā)的,有效期只有一天�����,沒(méi)有泄露出去���,沒(méi)有影響到用戶�。賽門(mén)鐵克隨后表示��,它解雇了相關(guān)雇員���,并展開(kāi)了內(nèi)部審查�����,發(fā)現(xiàn)了其雇員還為23個(gè)域名頒發(fā)了測(cè)試證書(shū)��,其中包括Google和Opera����。
今年4月,谷歌和火狐瀏覽器都宣布不再信任中國(guó)CNNIC數(shù)字證書(shū)����,原因是埃及MCS Holding公司使用CNNIC簽發(fā)的中級(jí)證書(shū)為多個(gè)Google域名簽發(fā)了假的證書(shū)。
*參考來(lái)源:Google Online Security & Solidot����,F(xiàn)B小編Sphinx編譯,文章有修改���,轉(zhuǎn)載請(qǐng)注明來(lái)自Freebuf黑客與極客(FreeBuf.COM)
