星期一, 十一月 09, 2015

赛门铁克为Google域名颁发假证书

  Google安全博客报告,赛门铁克旗下的Thawte CA在Google不知情下为google.com和 www.google.com域名颁发了一个扩展验证前证书(Extended Validation pre-certificate)。Google是从Chrome自动转发的证书透明度日志中发现这一情况。Google和赛门铁克讨论了这个问题,对方证实证书是在内部测试流程中颁发的,有效期只有一天,没有泄露出去,没有影响到用户。这个情况与CNNIC向埃及的MCS Holding颁发中级证书还是有很大区别的。

  赛门铁克随后表示,它解雇了相关雇员,并展开了内部审查,发现了其雇员还为23个域名颁发了测试证书,其中包括Google和Opera。

  Google认为,赛门铁克内部审计并不彻底,它花了几分钟就从 Certificate Transparency日志里发现了更多有问题的证书。赛门铁克随后证实,它发现了76个域名的164个问题证书,2456个未注册域名证书。Google批评赛门铁克连内部审计都做不好。它要求从2016年6月1日起,赛门铁克颁发的所有证书都必须支持Certificate Transparency,不支持的赛门铁克新颁发证书可能会在使用Google产品时出现问题。Google要求赛门铁克更新他们的报告,详细解释如何采取措施阻止类似事件发生。

没有评论: