信任危机:Mozilla开发人员公布Symantec证书颁发机构问题

日期: 2017-04-10 作者:Peter Loshin翻译:邹铮 来源:TechTarget中国 英文

日前,Mozilla开发人员公布了Symantec证书颁发机构的14个“已确认或疑似存在”的问题,以便Symantec正式解决这些问题。

而在此之前,谷歌指责Symantec证书颁发机构相关的不正当行为以及Symantec对谷歌提出的制裁采取了防御响应,对此,谷歌将采取相应措施,包括不信任Symantec证书并要求Symantec重新发布几乎所有的证书。

Symantec最初对谷歌的“制裁”作出了回应,称谷歌的行为“不负责任”,并认为谷歌对其证书颁发做法的陈述“夸张且具误导性”。

Mozilla开发人员列出了Symantec证书颁发机构相关的问题清单,包括2009年到2015年之间发生的测试证书错误,发布被禁用的SHA-1证书以及与美国联邦公共密钥基础设施(PKI)证书颁发机构交换签名等相关问题。

“当我们在思考如何对Symantec最近发生的问题做出反应时,我们认为最好是列出问题清单,”Mozilla公司软件工程师Gervase Markham表示,“这意味着Symantec可以正面回应所提出的问题,且其回应也将被整个社区看到。”

Symantec暂未对此发表评论。

Makham在上个月“谷歌称不信任Symantec证书”的论坛帖子中发表评论称:“谷歌已经确定了Symantec的问题,并适当地评估了问题的严重程度。值得关注的是,Symantec也已发现其中一家证书颁发机构存在问题,他们要求该机构作出整改,不过他们对该机构颁发的证书并没有采取任何行动。”

“整个网络对HTTPS的信任意味着我们需要信任几个主要参与者——根证书颁发机构,”咨询公司Rendition InfoSec LLC创始人Jacob Williams称,“我认为在印证Symantec证书不可信方面谷歌是有说服力的。”

根据Mozilla发布的Symantec问题清单,联邦PKI是“非常复杂的PKI”,它“应用于Mozilla的root store,”但Mozilla认为“由于很难使整个联邦PKI符合Mozilla政策,这不太可能成功。”

尽管如此,自2011年2月以来,Symantec在FPKI已经交叉签署两个证书颁发机构,从技术上来看,这意味着Symantec需要对FPKI发布的证书负责,而Symantec并没有披露其中间CA证书,这与Mozilla当时的要求相反。

“我认为问题在于他们在SHA-1证书禁用后继续发布该证书,然而SHA-1是有很大的问题的。此外,交叉签名联邦证书颁发机构也是问题。”

Markham在Mozilla wiki上发布Symantec证书颁发机构问题清单,其中列出了Symantec证书颁发机构所有最近的问题,以及其证书颁发活动如何不符合相关标准,特别是不符合CA/Browser论坛基准要求设置的标准。

虽然不正当发布SHA-1证书以及联邦PKI证书颁发机构的问题令人担忧,但还有另安全专家担心的事情。

Williams提到2015年5月1日到2016年4月30日Symantec合作伙伴Certsuperior的审计报告,称之为“Symantec签署存在‘网络安全隐患’子证书颁发机构的例子”。这个10页的审计报告中有8页详细说明了Certsuperior不符合CA/Browser论坛标准的细节。

“我认为谷歌肯定会采取制裁措施,”Williams称,“我们现在知道的是,在证书颁发机构的运营中,Symantec辜负了大家对其的信任,Symantec证书没有立即失效的原因是这会搅乱整个互联网,但看来又不得不为之。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Peter Loshin
Peter Loshin

网站编辑

翻译

邹铮
邹铮

相关推荐