番茄系統(tǒng)家園 - 免費(fèi)重裝系統(tǒng)!簡(jiǎn)單裝系統(tǒng),人人都是裝機(jī)大師!
當(dāng)前位置:首頁(yè)>電腦故障 > 巨頭懟巨頭,谷歌封殺賽門鐵克證書背后的恩怨情仇

巨頭懟巨頭,谷歌封殺賽門鐵克證書背后的恩怨情仇

來源:番茄系統(tǒng)家園瀏覽:時(shí)間:2022-04-24 10:11:56

巨头怼巨头,谷歌封杀赛门铁克证书背后的恩怨情仇

近日,互联网界一场关乎权威、信任、制裁的大战拉开序幕,谷歌和赛门铁克开撕,巨头怼巨头 。(不太了解赛门铁克(Symantec)的请自行谷歌)

Google Chrome 说:

由于赛门铁克 CA(证书签发机构)签发了3万多个有问题的证书,所以我们将逐步减少对赛门铁克证书的信任。

简而言之就是: 封杀!谷歌却说他的证书有问题不可信,这已经是个原(da)则(lian)问题了。

巨头怼巨头,谷歌封杀赛门铁克证书背后的恩怨情仇

【一个老梗】

打个不严谨的比方,一个很有声望的教授经常为学生写推荐信,这时忽然这教授推荐的人不行啊,三观不正能力不行,完全是瞎搞!”然后列举了许多他胡乱举荐的例子,赛门铁克就是写举荐信的教授。


浏览器和CA的相爱相杀


要了解此次谷歌和赛门铁克互撕事件背后的利害关系, 还得从 CA证书的原理来说起。

我们平时使用浏览器时,经常看到一个绿色的小锁巨头怼巨头,谷歌封杀赛门铁克证书背后的恩怨情仇,它表明你进入的是真的,所有通信都会基于证书来进行加密。(证书签发机构,简称“CA”),浏览器则会通过一些加密、哈希算法验证证书是否有效,最后告诉用户。

  • DV(Domain Validation),面向个体用户,安全体系相对较弱,验证方式就是向 whois信息中的邮箱发送邮件,按照邮件内容进行验证即可通过;

  • OV(Organization Validation),面向企业用户,证书在 DV 证书验证的基础上,还需要公司的授权,CA通过拨打信息库中公司的电话来确认;

  • EV(Extended Validation),URL地址栏展示了注册公司的信息,这类证书的申请除了以上两个确认外,需要公司提供金融机构的开户许可证,要求十分严格。

  • OV 和 EV 证书相当昂贵。

那么问题来了,CA机构掌握“生杀大权”,如何颁发证书全凭他说了算,浏览器只是一个验证的角色。万一 CA胡乱颁发证书怎么办?又或者,如果CA机构被黑客入侵导致证书泄露,造成了问题怎么办?

对于大多数普通用户来说,一旦网站出现问题,他们只会认为:浏览器告诉我这个网站是可信的,可是我被黑了,浏览器骗了我,浏览器有问题!

CA 开心地卖证书赚钱,出了问题浏览器厂商也要背锅。于是市场份额最大的 Chrome开始了“找茬”之路。此次谷歌和数字证书领域的老大哥赛门铁克交手,也并不是第一次。

你出问题,我就找茬

2011年3月,证书市场份额前列的科摩多(Comodo)公司遭黑客入侵,七个Web域共9个数字证书被窃,包括:mail.google.com、addons.mozilla.org 和login.yahoo.com 等。当时有人称那次事件为“CA版的 911攻击。”

同年,荷兰的 CA 机构 DigiNotar 同样遭到了黑客入侵,颁发了大量的伪造证书。由于这些伪造证书,数百万用户遭到了中间人攻击。

这些事件给人们敲响了警钟,结束了人们盲目信任CA的时代,也为谷歌之后的一系列动作埋下了伏笔。

2013年“棱镜门事件”爆发,斯诺登泄露的文件中透露:美国国家安全局就利用一些 CA 颁发的伪造SSL证书,截取和破解了大量 HTTPS加密网络会话。

谷歌再也坐不住了,同年便发起了证书透明度政策(CertificateTransparency,简称CT)。这一政策的目标是提供一个开放的审计和监控系统,让任何域名所有者或者 CA确定证书是否被错误签发,或者被恶意使用,从而提高 HTTPS 网站的安全性。

这个计划具体是这么来做的:

要求CA公开其颁发的每一个数字证书的数据,并将其记录到证书日志中。

这个项目并没有替代传统的CA的验证程序,但是谷歌起到了一个监督CA的作用,用户可以随时查询来确保自己的证书是独一无二的,没别人在使用你的证书,或者伪造你的证书。

证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书,以此来缓解可能会出现的安全问题,例如中间人攻击。

从那时开始,浏览器厂商和 CA 机构之间的其妙关系就开始导致了更多事情。

不再信任中国CNNIC数字证书

2015年4月,谷歌和火狐浏览器都宣布不再信任中国CNNIC数字证书,原因是埃及MCSHolding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。虽然后来调查发现这事是中国CNNIC授权的证书发布代理商干的,但并没有改变他们的决定。

和赛门铁克交手

2015年9月和10月,Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。

赛门铁克当时的解释是:“那批证书只是一个测试证书,仅测试一天就吊销了,没有泄露出去也没有影响到用户” 。赛门铁克随后还是炒掉了相关的雇员。然而这一系列动作并没有改变谷歌的对此事的决策。

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3Public Primary CA"根证书。

中国沃通遭众浏览器“群殴”

2016年1月1日,各大浏览器厂商开始停止接受一些用陈旧的SHA-1 算法进行签名的证书,因为SHA-1算法已经被证实可破解,伪造证书的成本比较低。

为了规避 SHA-1停用策略,沃通将证书的签发时间倒填成2015年12月份。但是很快就被Mozilla 基金会发现,然后:

  • Mozilla基金会 (火狐浏览器)决定沃通和其旗下StarSSL签发的证书;

  • 苹果将沃通的根证书从证书存储库中移除;

  • Chrome 56 开始,不再信任沃通及被其收购的 StartCom 于 2016 年 10 月 21日之后所颁发的证书,直到最终完全移除对这两个 CA 的信任!

在推动证书的升级、机制的优化方面,浏览器厂商显得更加积极主动。谷歌对CA机构的公开催促就是最好的证明。

2017年10月后签发的所有公开信任的网站SSL证书将遵守Chrome的证书透明度政策,以获得Chrome的信任。

平衡将要打破?

谷歌似乎也发现自己招惹的CA机构越来越多了,但是他们干脆一不做二不休,自己来做CA。2017年1月26日,谷歌宣布,为了能够更快速地处理Google产品的SSL/TLS 的证书需求,谷歌将建立自己的ROOT CA(根证书颁发机构)。

谷歌手握全球覆盖率最高的浏览器 Chrome,并在 CAB forum国际标准组织中扮演重要角色,掌握着全球CA机构的生杀大权,拥有不信任任意一家CA根证书的权利,如今又建立自己的CA机构。这可能会使全球浏览器和CA市场的格局发生显著变化。

回到此次谷歌和赛门铁克对撕事件:谷歌称发现赛门铁克2015年曾误发了超过3万 个证书。赛门铁克则回应那次误发的数量只有 127个,谷歌在夸大其词。

在编辑看来,具体的数字对于整体的局势来说其实并不重要,因为不会改变双方对于证书信任问题的对立关系。

赛门铁克此次表示,所有大型的 CA 都发生过 SSL / TLS 证书误发的事件,但 Google却不知为何专门把赛门铁克挑出来。Mozilla基金会(火狐浏览器) 最近也在考虑对赛门铁克进行制裁,并可能和 Google 的行动保持一致。

加密算法更迭、机制更加透明……这些事情确确实实在发生,我们普通用户总是受益的一方。

推薦系統(tǒng)

  • 雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載

    雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:WinXP

    雨林木風(fēng)在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)知名品牌,雨林木風(fēng)WindowsXP其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,是一款穩(wěn)定流暢的系統(tǒng),雨林木風(fēng) winxp下載 純凈版 永久激活 winxp ghost系統(tǒng) sp3 系統(tǒng)下載,有需要的朋友速度下載吧。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用

    蘿卜家園win7純凈版 ghost系統(tǒng)下載 x64 聯(lián)想電腦專用64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win7

    蘿卜家園win7純凈版是款非常純凈的win7系統(tǒng),此版本優(yōu)化更新了大量的驅(qū)動(dòng),幫助用戶們進(jìn)行舒適的使用,更加的適合家庭辦公的使用,方便用戶,有需要的用戶們快來下載安裝吧。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載64位
    系統(tǒng)大?。?/em>1.01GB系統(tǒng)類型:WinXP

    雨林木風(fēng)xp系統(tǒng) xp系統(tǒng)純凈版 winXP ghost xp sp3 純凈版系統(tǒng)下載,雨林木風(fēng)WinXP系統(tǒng)技術(shù)積累雄厚深耕多年,采用了新的系統(tǒng)功能和硬件驅(qū)動(dòng),可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動(dòng)對(duì)硬件的加速,加固了系統(tǒng)安全策略,運(yùn)行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載

    蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win10

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,(win10企業(yè)版,win10 ghost,win10鏡像),蘿卜家園win10企業(yè)版 免激活密鑰 激活工具 ghost鏡像 X64位系統(tǒng)下載,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • 蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 V2023 X64位系統(tǒng)下載64位
    系統(tǒng)大小:0MB系統(tǒng)類型:Win10

    蘿卜家園windows10游戲版 win10游戲?qū)I(yè)版 ghost X64位 系統(tǒng)下載,蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,打造了國(guó)內(nèi)重裝系統(tǒng)行業(yè)的蘿卜家園品牌,其系統(tǒng)口碑得到許多人認(rèn)可,積累了廣大的用戶群體,蘿卜家園win10純凈版是一款穩(wěn)定流暢的系統(tǒng),一直以來都以用戶為中心,是由蘿卜家園win10團(tuán)隊(duì)推出的蘿卜家園win10國(guó)內(nèi)鏡像版,基于國(guó)內(nèi)用戶的習(xí)慣,做

    系統(tǒng)等級(jí):
    進(jìn)入下載 >
  • windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載

    windows11下載 蘿卜家園win11專業(yè)版 X64位 V2023官網(wǎng)下載64位
    系統(tǒng)大?。?/em>0MB系統(tǒng)類型:Win11

    蘿卜家園在系統(tǒng)方面技術(shù)積累雄厚深耕多年,windows11下載 蘿卜家園win11專業(yè)版 X64位 官網(wǎng)正式版可以更好的發(fā)揮系統(tǒng)的性能,優(yōu)化了系統(tǒng)、驅(qū)動(dòng)對(duì)硬件的加速,使得軟件在WINDOWS11系統(tǒng)中運(yùn)行得更加流暢,加固了系統(tǒng)安全策略,WINDOWS11系統(tǒng)在家用辦公上跑分表現(xiàn)都是非常優(yōu)秀,完美的兼容各種硬件和軟件,運(yùn)行環(huán)境安全可靠穩(wěn)定。

    系統(tǒng)等級(jí):
    進(jìn)入下載 >

熱門系統(tǒng)