巨头怼巨头,谷歌封杀赛门铁克证书背后的恩怨情仇
本文作者谢幺,小编()网络安全作者,公众号:宅客频道 近日,互联网界一场关乎权威、信任、制裁的大战拉开序幕,谷歌和赛门铁克开撕,巨头怼巨头 。(不太了解赛门铁克(Symantec)的请自行谷歌) GoogleChrome 说: 由于赛门铁克 CA(证书签发机构)签发了3万多个有问题的证书,所以我们将逐步减少对赛门铁克证书的信任。 简而言之就是:封杀!赛门铁克CA为网站颁发证书,谷歌却说他的证书有问题不可信,这已经是个原(da)则(lian)问题了。 【一个老梗】 打个不严谨的比方,一个很有声望的教授经常为学生写推荐信,推荐学生去知名公司上班,这时忽然有个知名的大公司跳出来说:“这教授推荐的人不行啊,三观不正能力不行,完全是瞎搞!”然后列举了许多他胡乱举荐的例子,让教授的公信力瞬间大打折扣,其他公司也不敢要他推荐的学生了。谷歌就是这个跳出来的公司,赛门铁克就是写举荐信的教授。 浏览器和CA的相爱相杀要了解此次谷歌和赛门铁克互撕事件背后的利害关系,还得从 CA证书的原理来说起。 我们平时使用浏览器时,经常看到一个绿色的小锁 ,它表明你进入的是真的,而不是伪造的网站,并且所有通信都会基于证书来进行加密。CA机构给网站颁发证书(证书签发机构,简称“CA”),浏览器则会通过一些加密、哈希算法验证证书是否有效,最后告诉用户。 据小编所知,证书一般分成三类: DV、OV 、和 EV ,加密效果都是一样的,区别在于:
那么问题来了,CA机构掌握“生杀大权”,如何颁发证书全凭他说了算,浏览器只是一个验证的角色。万一 CA 胡乱颁发证书怎么办?又或者,如果CA机构被黑客入侵导致证书泄露,造成了问题怎么办? 对于大多数普通用户来说,一旦网站出现问题,他们只会认为:浏览器告诉我这个网站是可信的,可是我被黑了,浏览器骗了我,浏览器有问题! CA 开心地卖证书赚钱,出了问题浏览器厂商也要背锅。于是市场份额最大的 Chrome 开始了“找茬”之路。此次谷歌和数字证书领域的老大哥赛门铁克交手,也并不是第一次。 你出问题,我就找茬2011年3月,证书市场份额前列的科摩多(Comodo)公司遭黑客入侵,七个Web域共9个数字证书被窃,包括:mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。当时有人称那次事件为“CA版的 911攻击。” 同年,荷兰的 CA 机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。由于这些伪造证书,数百万用户遭到了中间人攻击。 这些事件给人们敲响了警钟,结束了人们盲目信任CA的时代,也为谷歌之后的一系列动作埋下了伏笔。 2013年“棱镜门事件”爆发,斯诺登泄露的文件中透露:美国国家安全局就利用一些 CA 颁发的伪造SSL证书,截取和破解了大量 HTTPS 加密网络会话。 谷歌再也坐不住了,同年便发起了证书透明度政策(Certificate Transparency,简称CT)。这一政策的目标是提供一个开放的审计和监控系统,让任何域名所有者或者 CA 确定证书是否被错误签发,或者被恶意使用,从而提高HTTPS网站的安全性。 这个计划具体是这么来做的: 要求CA公开其颁发的每一个数字证书的数据,并将其记录到证书日志中。 这个项目并没有替代传统的CA 的验证程序,但是谷歌起到了一个监督CA的作用,用户可以随时查询来确保自己的证书是独一无二的,没别人在使用你的证书,或者伪造你的证书。 证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击。 之后的几年里,证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书,比如帮助 facebook团队发现了不少伪造其证书的子域名网站。 从那时开始,浏览器厂商和 CA 机构之间的其妙关系就开始导致了更多事情。 不再信任中国CNNIC数字证书2015年4月,谷歌和火狐浏览器都宣布不再信任中国CNNIC数字证书,原因是埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。虽然后来调查发现这事是中国CNNIC授权的证书发布代理商干的,但并没有改变他们的决定。 和赛门铁克交手2015年9月和10月,Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。 赛门铁克当时的解释是:“那批证书只是一个测试证书,仅测试一天就吊销了,没有泄露出去也没有影响到用户” 。赛门铁克随后还是炒掉了相关的雇员。然而这一系列动作并没有改变谷歌的对此事的决策。 2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。 中国沃通遭众浏览器“群殴”2016年1月1日,各大浏览器厂商开始停止接受一些用陈旧的SHA-1 算法进行签名的证书,因为SHA-1算法已经被证实可破解,伪造证书的成本比较低。 为了规避 SHA-1停用策略,沃通将证书的签发时间倒填成2015年12月份。但是很快就被Mozilla 基金会发现,然后:
在推动证书的升级、机制的优化方面,浏览器厂商显得更加积极主动。谷歌对CA机构的公开催促就是最好的证明。2016年10月,谷歌通过公开邮件组发布公告: 2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策,以获得Chrome的信任。 平衡将要打破?(编辑:ASP站长网) |