Google发现Symantec内部私造Google主域名EV证书

来自Google安全博客的消息，Google安全与隐私产品经理Stephan Somogyi和证书透明度产品经理Adam Eijdenberg撰文称Symantec内部私造了Google主域名的EV证书（EV：扩展验证）。

Symantec是世界顶级的安全机构之一，也是世界知名的ROOT CA机构，非常多的知名站点均使用Symantec颁发的证书。

然而，Google的两位产品经理在格林尼治时间2015年9月14日19:20发现了一个不同寻常的EV证书。

该证书由Symantec旗下Thawte CA颁发，颁发给Google.com与www.Google.com，而Google一直是使用自家CA（由Geo Trust Global CA颁发）颁发的证书。

也就是说Google发现的这枚证书，其实是伪造的，尽管该证书的有效期仅为1天。

这枚证书由Google Chrome自动转发证书的透明度信息而被Google发现，证书颁发者是Symantec旗下Thawte CA颁发。

Google称该证书的颁发既没有Google预认证也没有通知过Google需要制作这枚证书，Google已联系Symantec进行讨论。

实际这枚证书是Symantec内部测试时使用被Google Chrome自动转发才被Google发现的。

Google已经紧急启动了Chrome的吊销证书数据已阻止该证书的继续使用。

Google声明目前没有情况表明Google的安全性与隐私权受到威胁，Google也将继续与Symantec磋商。

此前，埃及中级CA曾伪造过Google旗下邮箱Gmail的证书被Google发现，该中级CA的证书由*国国家互联网管理机构CN*NIC颁布（CN*NIC ROOT），该事件一度导致Google宣布吊销CN*NIC颁发的所有证书。

一般情况下伪造证书基本都是为了劫持，尤其是现在越来越多的中间人攻击，如果拥有合法CA颁发的伪造证书，将更加方便的窃取用户的隐私数据。

（参考：Google Online Security）