信息來源:FreeBuf
Google宣布在接下來的幾周�����,Google會(huì)在Chrome���、Android和其他Google產(chǎn)品中將把賽門鐵克頒發(fā)的“Class 3 Public Primary CA”根證書設(shè)為不可信��。
接下來的幾周�,Google會(huì)在所有的Chrome����、Android和Google產(chǎn)品中將把賽門鐵克頒發(fā)的“Class 3 Public Primary CA”根證書設(shè)為不可信。我們這么做是為了回應(yīng)賽門鐵克公司的通知��,這份通知稱����,自2015年12月1 日起,賽門鐵克決定此根證書不再遵從CA/瀏覽器論壇的基準(zhǔn)要求�。由于這些基準(zhǔn)要求反映的是行業(yè)的最佳方案���,是證書可信的基礎(chǔ),拒絕遵守這些要求會(huì)給Google產(chǎn)品的用戶帶來巨大風(fēng)險(xiǎn)����。
賽門鐵克已經(jīng)告知我們,他們不會(huì)將此證書用于其它目的�。但是,由于此根證書不會(huì)在遵守CA/瀏覽器論壇的基準(zhǔn)要求����,Google公司不能保證此根證書或以此根證書簽發(fā)的其他證書不會(huì)被用來攔截、干擾或偽造用戶們的加密通訊�����。由于賽門鐵克公司拒絕說明這些證書的新用途�,并且他們知曉這對Google用戶們的風(fēng)險(xiǎn),他們已經(jīng)請求Google采取預(yù)防措施移除這款根證書��。這個(gè)措施非常有必要��,因?yàn)檫@款根證書在Android���、Windows�����、和早于10.11版本的OS X 系統(tǒng)中都是可信的�����。
賽門鐵克表示���,他們不認(rèn)為他們運(yùn)行安全網(wǎng)站的客戶們會(huì)受此影響,賽門鐵克還表示�����,據(jù)他們所知�����,訪問使用了賽門鐵克證書的網(wǎng)站的客戶們也不會(huì)受此影響��。遇到問題的用戶們可以聯(lián)系賽門鐵克技術(shù)支持��。
根證書的更多技術(shù)信息:
Friendly Name: Class 3 Public Primary Certification Authority
Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
Public Key Hash (SHA-1): E2:7F:7B:D8:77:D5:DF:9E:0A:3F:9E:B4:CB:0E:2E:A9:EF:DB:69:77
Public Key Hash (SHA-256):
B1:12:41:42:A5:A1:A5:A2:88:19:C7:35:34:0E:FF:8C:9E:2F:81:68:FE:E3:BA:18:7F:25:3B:C1:A3:92:D7:E2
MD2 Version
Fingerprint (SHA-1): 74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2
Fingerprint (SHA-256): E7:68:56:34:EF:AC:F6:9A:CE:93:9A:6B:25:5B:7B:4F:AB:EF:42:93:5B:50:A2:65:AC:B5:CB:60:27:E4:4E:70
SHA1 Version
Fingerprint (SHA-1): A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B
Fingerprint (SHA-256): A4:B6:B3:99:6F:C2:F3:06:B3:FD:86:81:BD:63:41:3D:8C:50:09:CC:4F:A3:29:C2:CC:F0:E2:FA:1B:14:03:05
假證書現(xiàn)象
今年10月����,賽門鐵克旗下的Thawte CA在Google不知情下為google.com和 www.google.com域名頒發(fā)了一個(gè)擴(kuò)展驗(yàn)證前證書(Extended Validation pre-certificate)��。Google是從Chrome自動(dòng)轉(zhuǎn)發(fā)的證書透明度日志中發(fā)現(xiàn)這一情況����。Google和賽門鐵克討論了這個(gè)問題�����,對方證實(shí)證書是在內(nèi)部測試流程中頒發(fā)的���,有效期只有一天��,沒有泄露出去��,沒有影響到用戶�。賽門鐵克隨后表示����,它解雇了相關(guān)雇員,并展開了內(nèi)部審查��,發(fā)現(xiàn)了其雇員還為23個(gè)域名頒發(fā)了測試證書���,其中包括Google和Opera���。
今年4月�,谷歌和火狐瀏覽器都宣布不再信任中國CNNIC數(shù)字證書����,原因是埃及MCS Holding公司使用CNNIC簽發(fā)的中級證書為多個(gè)Google域名簽發(fā)了假的證書����。
*參考來源:Google Online Security & Solidot,F(xiàn)B小編Sphinx編譯��,文章有修改�,轉(zhuǎn)載請注明來自Freebuf黑客與極客(FreeBuf.COM)
