信息來源:FreeBuf
Google宣布在接下來的幾周,Google會在Chrome����、Android和其他Google產(chǎn)品中將把賽門鐵克頒發(fā)的“Class 3 Public Primary CA”根證書設(shè)為不可信。
接下來的幾周�,Google會在所有的Chrome、Android和Google產(chǎn)品中將把賽門鐵克頒發(fā)的“Class 3 Public Primary CA”根證書設(shè)為不可信��。我們這么做是為了回應(yīng)賽門鐵克公司的通知�����,這份通知稱��,自2015年12月1 日起�,賽門鐵克決定此根證書不再遵從CA/瀏覽器論壇的基準(zhǔn)要求。由于這些基準(zhǔn)要求反映的是行業(yè)的最佳方案�,是證書可信的基礎(chǔ),拒絕遵守這些要求會給Google產(chǎn)品的用戶帶來巨大風(fēng)險�����。
賽門鐵克已經(jīng)告知我們��,他們不會將此證書用于其它目的����。但是�,由于此根證書不會在遵守CA/瀏覽器論壇的基準(zhǔn)要求�����,Google公司不能保證此根證書或以此根證書簽發(fā)的其他證書不會被用來攔截�、干擾或偽造用戶們的加密通訊。由于賽門鐵克公司拒絕說明這些證書的新用途��,并且他們知曉這對Google用戶們的風(fēng)險�����,他們已經(jīng)請求Google采取預(yù)防措施移除這款根證書��。這個措施非常有必要���,因為這款根證書在Android�、Windows���、和早于10.11版本的OS X 系統(tǒng)中都是可信的�����。
賽門鐵克表示�,他們不認(rèn)為他們運(yùn)行安全網(wǎng)站的客戶們會受此影響,賽門鐵克還表示��,據(jù)他們所知����,訪問使用了賽門鐵克證書的網(wǎng)站的客戶們也不會受此影響��。遇到問題的用戶們可以聯(lián)系賽門鐵克技術(shù)支持����。
根證書的更多技術(shù)信息:
Friendly Name: Class 3 Public Primary Certification Authority
Subject: C=US, O=VeriSign, Inc., OU=Class 3 Public Primary Certification Authority
Public Key Hash (SHA-1): E2:7F:7B:D8:77:D5:DF:9E:0A:3F:9E:B4:CB:0E:2E:A9:EF:DB:69:77
Public Key Hash (SHA-256):
B1:12:41:42:A5:A1:A5:A2:88:19:C7:35:34:0E:FF:8C:9E:2F:81:68:FE:E3:BA:18:7F:25:3B:C1:A3:92:D7:E2
MD2 Version
Fingerprint (SHA-1): 74:2C:31:92:E6:07:E4:24:EB:45:49:54:2B:E1:BB:C5:3E:61:74:E2
Fingerprint (SHA-256): E7:68:56:34:EF:AC:F6:9A:CE:93:9A:6B:25:5B:7B:4F:AB:EF:42:93:5B:50:A2:65:AC:B5:CB:60:27:E4:4E:70
SHA1 Version
Fingerprint (SHA-1): A1:DB:63:93:91:6F:17:E4:18:55:09:40:04:15:C7:02:40:B0:AE:6B
Fingerprint (SHA-256): A4:B6:B3:99:6F:C2:F3:06:B3:FD:86:81:BD:63:41:3D:8C:50:09:CC:4F:A3:29:C2:CC:F0:E2:FA:1B:14:03:05
假證書現(xiàn)象
今年10月,賽門鐵克旗下的Thawte CA在Google不知情下為google.com和 www.google.com域名頒發(fā)了一個擴(kuò)展驗證前證書(Extended Validation pre-certificate)���。Google是從Chrome自動轉(zhuǎn)發(fā)的證書透明度日志中發(fā)現(xiàn)這一情況�。Google和賽門鐵克討論了這個問題����,對方證實(shí)證書是在內(nèi)部測試流程中頒發(fā)的,有效期只有一天��,沒有泄露出去�����,沒有影響到用戶。賽門鐵克隨后表示���,它解雇了相關(guān)雇員����,并展開了內(nèi)部審查�,發(fā)現(xiàn)了其雇員還為23個域名頒發(fā)了測試證書,其中包括Google和Opera��。
今年4月��,谷歌和火狐瀏覽器都宣布不再信任中國CNNIC數(shù)字證書����,原因是埃及MCS Holding公司使用CNNIC簽發(fā)的中級證書為多個Google域名簽發(fā)了假的證書。
*參考來源:Google Online Security & Solidot���,F(xiàn)B小編Sphinx編譯�����,文章有修改�����,轉(zhuǎn)載請注明來自Freebuf黑客與極客(FreeBuf.COM)
