Google 正在考虑对赛门铁克及其证书经销商多次重复不正确地发出 SSL 证书的事件进行严厉的处罚,拟议的计划是强制该公司更换其所有客户的证书,并停止识别拥有该证书的扩展验证(EV)状态。如果 Google 的计划付诸实施,数百万的现有 Symantec 证书将在未来12个月内在 Google Chrome 中不受信任。
SSL / TLS 证书是用于加密浏览器和支持 HTTPS 网站之间的连接,并验证用户是否真正访问他们打算使用的网站,避免欺诈网站。这些证书由被认为是浏览器和操作系统默认信任的证书颁发机构颁发,颁发和管理证书的过程由 CA/Browser Forum(成员包括浏览器供应商和证书颁发机构)创建的规则管理。当这些规则被违背时,浏览器和操作系统供应商可以撤销对违规证书的信任,并对负责的证书颁发机构进行制裁,以便将其从其根证书存储区踢出。
Google 认为,对最近发生的事件进行调查发现,赛门铁克并未做好认证机构的安全监督工作,例如验证域控制、审核日志以证明未经授权的发行,去尽量减少颁发欺诈证书。
赛门铁克由于多年来的收购,现已控制了几个以前独立的认证机构的根证书,包括 VeriSign、GeoTrust、Thawte 和 RapidSSL,使其成为世界上最大的商业证书颁发机构。Google 的这项行动将给赛门铁克带来巨大的压力,因为公司必须与所有客户联系,重新验证其身份和所有权,并将其现有证书替换为新的证书,而且有可能要全部免费更换,有些公司甚至在短时间内更换证书还会出现问题。除此之外,赛门铁克可能必须给支付 EV 证书的客户退款,因为它们将不再被 Chrome 认可,失去了价值。
可以肯定地说,Google 的制裁会对赛门铁克的 SSL 业务产生重大影响,这还是第一次浏览器供应商因行为不当对 CA 进行如此严厉且大规模的处罚。
赛门铁克自然是强烈反对 Google 的计划,批评其对公司过去的误解,并用言论对用户造成“夸张和误导”。该公司在想办法尽可能减少 Google 带来的潜在伤害,打算与 Google 讨论此事并寻求共同商定的解决方案。
同时,自己管理根证书的 Mozilla 也在考虑对赛门铁克进行制裁,并可能和 Google 的行动保持一致。
“现在 Google 已经宣布了他们的行动,但不难发现,CA 对于两个 root stores 可能采取的是同样的方法,会存在一样的问题,因此对于同样的操作,CA 并没有被双重惩罚”,Mozilla 的 Gervase Markham 在该组织的安全政策邮件列表中写道。
然而,Markham 也指出,Google 目前的计划还处于考虑阶段,回顾以往的先例和对其他 CA 制裁的反应来看,这绝对会是一个十分艰难的过程。