Mozilla发布公开声明建议赛门铁克接受谷歌的证书提议
自2015年开始至今仍未结束的赛门铁克证书风波目前有了新的进展,Mozilla 已发布公开声明支持谷歌提议。
事情开始还要从2015年谷歌监测到伪造的证书时说起,当时赛门铁克的雇员签发了谷歌相关域名的数字证书。
签发谷歌的数字证书意味着如果证书流传出去则可被用于劫持谷歌,虽然这个证书的有效期仅只有 1 天时间。
随后谷歌反应强烈并立即向赛门铁克通报了此事, 赛门铁克则是立即开除了这名雇员并开始内部的审计调查。
经过调查发现赛门铁克签发的证书除了谷歌之外还有挪威著名浏览器Opera,并还有 127 个相关的数字证书。
这意味着赛门铁克并没有严格的执行内部审计, 随意签发数字证书会让整个互联网陷入安全危机和恐慌之中。
目前谷歌称发现的问题数字证书远远不止 127 个,在谷歌安全群组中讨论和透露的数据显示问题证书 3 万个。
谷歌提出的惩罚性措施:
1、将信任赛门铁克及其子公司签发的证书时间缩短至9个月,即超过9个月的不再信任;
2、将暂停信任赛门铁克及其子公司签发的扩展验证证书1年,扩展验证即地址显示公司名称的证书;
3、赛门铁克及其子公司需要将之前签发的问题证书吊销,然后重新签发合规的证书;
谷歌提出的第二项措施:
赛门铁克需要建立新的PKI公钥基础设施然后根据现有的源进行交叉签名,这种方式会引入新的受信任机构。
在经过过渡期后删除旧证书的中的PKI然后完全使用新的PKI, 但同时保留EV类证书的有效期限制至13个月。
赛门铁克随后发布了新的公开声明宣布了新的安全措施,但赛门铁克依然还是没有同意谷歌提出的新的建议。
Mozilla提出的公开声明(草案):(简要如下)
Mozilla发布了很长的公开声明分析赛门铁克宣布的新的安全措施,但 Mozilla 也没有同意赛门铁克的新措施。
同时Mozilla认为赛门铁克证书事件确实是很严重的安全问题,作为对比还提出了CNNIC和WoSign进行举例。
Mozilla称谷歌提出的第二项措施具有立竿见影的效果,因此 Mozilla 建议赛门铁克同意谷歌提出的这项措施。
Mozilla 最后还提出了警告性措施:若赛门铁克不同意谷歌提出的措施则应立即采取行动清理公开信任的PKI。
同时 Mozilla 也将会限制信任赛门铁克及其子公司新签发的证书,限制措施为仅信任新证书有效期为13个月。
若签发新证书有效期超出 13 个月则不被信任,同时Mozilla将会将现有的赛门铁克证书有效期限制至13个月。
Mozilla公布的完整的声明草案可以点击这里查看:Draft: Mozilla Proposal re: Symantec (仅英文)