发布时间:2021-12-20 分类: 电商动态
最近,一场针对互联网行业权威、信任和制裁的战争拉开了帷幕。谷歌和赛门铁克决裂,巨人反对巨人。谷歌Chrome表示:由于赛门铁克Ca(证书颁发机构)已经颁发了30000多份有问题的证书,我们将逐步降低对赛门铁克证书的信任。简言之:街区!赛门铁克CA为该网站颁发了一份证书,但谷歌表示,他的证书存在问题,不可信,这已经是Da的问题。例如,一位著名的教授经常给学生写推荐信,推荐他们到一家知名公司工作。这时,一家知名大公司突然跳出来说:“教授推荐的人不好,三观能力不好,全是胡说八道!”然后他列举了许多随机推荐的例子,这大大降低了教授的可信度,其他公司也不敢让他推荐学生。谷歌是跳槽的公司,赛门铁克是撰写推荐信的教授。浏览器和Ca之间的爱是相互残杀的。为了理解谷歌和赛门铁克之间相互撕扯背后的利益,我们必须学习CA证书的原理。当我们通常使用浏览器时,我们经常会看到一个小的绿色锁,表示您进入的是真实的网站,而不是伪造的网站,所有通信都将根据证书进行加密。CA权威机构向网站颁发证书(简称CA),浏览器将通过一些加密和哈希算法验证证书是否有效,最后告知用户。雷锋认为,证书一般分为三类:DV、OV和ev。加密效果相同,但区别在于:DV(domainvalidation),对于个人用户来说,安全系统相对较弱。认证方式是向whois信息中的邮箱发送邮件,并根据邮件内容通过认证;OV(组织验证)面向企业用户。在DV证书验证的基础上,证书还需要公司的授权。CA通过拨打信息库中公司的电话进行确认;Ev(扩展验证),URL列显示注册公司的信息。除上述两项确认外,申请此类证书还要求公司提供金融机构的开户许可证,这是非常严格的。OV和ev证书相当昂贵。所以问题来了。。。,CA组织拥有“生死攸关”的权力“如何颁发证书是他唯一拥有最终决定权的事情。浏览器只是一个验证角色。如果CA随机颁发证书怎么办?或者,如果CA组织遭到黑客攻击,导致证书泄漏,是什么导致了问题?对于大多数普通用户来说,一旦网站出现问题,他们会认为浏览器告诉了他们我觉得网站是可信的,但我是黑人,浏览器骗了我,浏览器有问题!CA快乐地出售证书来赚钱。如果出现问题,浏览器制造商必须承担责任。因此,拥有最大市场份额的chrome开始“找茬”。这不是谷歌第一次与数字证书领域的老大赛门铁克(Symantec)展开竞争。如果你有问题,我会挑毛病的。2011年3月,拥有最高证书市场份额的Comodo公司遭到黑客攻击,包括mail google在内的7个web域中的9个数字证书被盗。com、插件。mozilla。Org并登录雅虎。当时,有人把这起事件称为“CA版的9/11袭击”。“同年,荷兰CA组织diginotar也遭到黑客入侵,并发布了大量伪造证书。由于这些伪造证书,数百万用户受到了中介机构的攻击。这些事件敲响了警钟,结束了对CA的盲目信任时代,并预示了继谷歌之后的一系列行动。prism gat“2013年的e事件”爆发后,斯诺登在泄露的文件中披露,美国国家安全局使用一些CA颁发的伪造SSL证书拦截并破解了大量HTTPS加密的网络会话。谷歌不能再坐以待毙,推出了证书透明政策(CT)该政策的目标是为任何域名所有者或CA提供一个开放的审计和监控系统,以确定证书是否被错误颁发或恶意使用,从而提高HTTPS网站的安全性。该计划具体做到了这一点:CA需要披露CA颁发的每个数字证书的数据,并将其记录在证书日志中。该项目不会取代传统的CA认证程序,但谷歌在监督CA方面发挥着作用。用户可以随时查询以确保他们的证书是唯一的,并且没有其他人在使用您的证书或伪造您的证书。证书透明度将使人们能够快速地识别不正确或恶意发布的数字证书,从而减轻可能的安全问题,例如中间人攻击。在接下来的几年中,证书透明系统和监控服务确实帮助许多网站检测伪造的证书,例如帮助Facebook团队找到许多伪造证书的子域网站。从那时起,浏览器制造商和Ca机构之间的良好关系带来了更多的东西。2015年9月和10月,针对赛门铁克,谷歌表示发现赛门铁克的Thawte未经同意为许多域名颁发了数千份证书,包括谷歌的域名和不存在的域名。赛门铁克当时的解释是:“这些证书只是测试证书,仅在一天的测试中就被吊销,不会泄露或影响用户。”赛门铁克随后解雇了相关员工。然而,这一系列行动并没有改变谷歌对此事的决定。2015年12月,谷歌宣布chrome、Android和其他谷歌产品将不再信任赛门铁克的“class3 public primaryca”根证书。中国watcom受到浏览器的“围攻”“2016年1月1日,主要浏览器制造商开始停止接受使用旧SHA-1算法签署的一些证书,因为SHA-1算法已被证明存在漏洞,伪造证书的成本相对较低。为了避免SHA-1停用策略,watcom将证书的颁发时间补回至2015年12月。但是,Mozilla基金会很快发现了它,然后Mozilla基金会(Firefox浏览器)决定了WATCOM及其STARSSL颁发的证书;Apple从证书存储库中删除Watson的根证书;从chrome 56开始,在2016年10月21日之后,它不再信任watcom及其收购的startcom颁发的证书,直到它最终完全解除对这两个CA的信任!浏览器制造商在促进证书升级和机制优化方面更加积极主动。谷歌对Ca机构的公开敦促就是最好的证明。2016年10月,谷歌通过公共电子邮件集团宣布,2017年10月之后发布的所有公共受信任网站SSL证书将符合chrome的证书透明度政策,以获得chrome的信任。平衡即将打破?谷歌似乎也发现,它已经激怒了越来越多的Ca机构,但他们只是不这么做,而是自己做。2017年1月26日,谷歌宣布将建立自己的rootca(根认证机构),以更快地处理谷歌产品的SSL/TLS证书要求。当时,这种方法吸引了许多网民的疑问:“谷歌同时使用浏览器和Ca真的好吗?”谷歌拥有全球覆盖率最高的浏览器chrome,并在cabforum国际标准组织中发挥着重要作用。它有权控制全球CA机构的生死存亡,有权不信任任何CA根证书,现在建立自己的CA机构。这可能会显著改变全球浏览器和Ca市场的格局。回到谷歌和赛门铁克之间的战斗事件:谷歌表示,它发现赛门铁克在2015年错误颁发了30000多份证书。赛门铁克回应说,误发信息的数量只有127条,而谷歌则夸大了这一点。在雷锋网(官方账号:雷锋网)的编辑中,具体数字对整体情况并不重要
