您的位置:首页 >互联网 >

Google设置了替换赛门铁克网站证书的截止日期

谷歌本周宣布了最终时间表,该时间表取消了对使用Symantec发行的身份验证证书的网站在Chrome浏览器中的支持。该时间表为使用Symantec身份验证证书的组织提供了替换,否则,在最终期限到期后,Chrome浏览器会将其站点标记为不安全的风险。

在Google的安全博客上的公告中,Chrome安全团队的成员发布了一个时间表,指出了网站运营商需要从Chrome信任的任何证书颁发机构获取新证书的确切日期。

Google的时间表允许网站所有者在2018年3月15日之前替换在2016年6月1日之前发布的Symantec Transport Layer Security(TLS)证书。到明年9月中旬,那些具有Symantec证书的日期在2016年6月1日之后的网站将需要也可以用Symantec或任何其他证书发行供应商的新产品替换它们。

从2018年9月13日的Chrome版本70开始,浏览器将不信任所有现有的Symantec发行的TLS证书。

本周的博客文章旨在为网站所有者提供有关Google表示可采取行动的信息,这些信息是谷歌表示将在今年早些时候进行调查后采取的措施,这些问题促使人们对赛门铁克向网站所有者颁发证书的努力提出了质疑。

作为所谓的证书颁发机构(CA),赛门铁克是全球范围内负责发行用于对网站进行身份验证的加密证书的公司之一。

Chrome之类的浏览器使用这些证书来验证网站的身份,并确保声称属于某个特定Internet域的网站确实确实属于该网站。经过正确身份验证并被认为安全的网站通常在网址栏中带有绿色的挂锁或其他类似的图标。

颁发不当的证书可能会导致严重后果,并且除其他外,还使威胁者可以欺骗合法站点。例如,威胁参与者设法为Google.com获取了错误发行的数字证书,它可能会欺骗所有主要浏览器都会隐式信任的Google网站。这将允许威胁参与者使用欺骗性站点将恶意软件分发给网站访问者。

1月份,Firefox浏览器背后的组织Mozilla的安全工程师公开报告了他们所说的赛门铁克处理证书颁发过程中的严重违规行为。研究人员指出,他们碰到过几次赛门铁克在未经域所有者任何授权的情况下错误地为特定域颁发证书的情况。

谷歌随后的调查显示,赛门铁克不当地允许四个第三方访问其数字证书发行基础结构并代表其发行证书。谷歌声称其调查表明,作为CA的赛门铁克已经允许不当颁发30,000个证书,即使Symantec自己将证书的数目定为127。

今年有关赛门铁克证书发行流程问题的披露标志着自2015年10月以来第二次该公司被捕做同样的事情。在2015年的事件中,赛门铁克承认,它不正确地颁发了总共23个测试证书,涉及五个组织,包括Google和Opera。

谷歌声称,它决定不信任或弃用所有赛门铁克证书的原因是该公司系统地未能遵循行业规范。谷歌曾表示,允许Chrome浏览器再次信任赛门铁克证书的唯一方法是,如果这些证书是从全新的基础架构中发行的,并且受到适当的监督。

至少部分是由于来自Google的压力,赛门铁克于8月以不到10亿美元的价格将其数字证书业务出售给DigiCert,并持有该公司30%的普通股。

当前计划要求DigiCert从今年晚些时候开始向Symantec客户颁发新证书。谷歌表示DigiCert是Chrome将在2018年9月13日之后继续信任的身份验证证书颁发机构之一。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。