發布時間:2021-12-20 分類: 電商動態
最近,一場針對互聯網行業權威、信任和制裁的戰爭拉開了帷幕。谷歌和賽門鐵克決裂,巨人反對巨人。谷歌Chrome表示:由于賽門鐵克Ca(證書頒發機構)已經頒發了30000多份有問題的證書,我們將逐步降低對賽門鐵克證書的信任。簡言之:街區!賽門鐵克CA為該網站頒發了一份證書,但谷歌表示,他的證書存在問題,不可信,這已經是Da的問題。例如,一位著名的教授經常給學生寫推薦信,推薦他們到一家知名公司工作。這時,一家知名大公司突然跳出來說:“教授推薦的人不好,三觀能力不好,全是胡說八道!”然后他列舉了許多隨機推薦的例子,這大大降低了教授的可信度,其他公司也不敢讓他推薦學生。谷歌是跳槽的公司,賽門鐵克是撰寫推薦信的教授。瀏覽器和Ca之間的愛是相互殘殺的。為了理解谷歌和賽門鐵克之間相互撕扯背后的利益,我們必須學習CA證書的原理。當我們通常使用瀏覽器時,我們經常會看到一個小的綠色鎖,表示您進入的是真實的網站,而不是偽造的網站,所有通信都將根據證書進行加密。CA權威機構向網站頒發證書(簡稱CA),瀏覽器將通過一些加密和哈希算法驗證證書是否有效,最后告知用戶。雷鋒認為,證書一般分為三類:DV、OV和ev。加密效果相同,但區別在于:DV(domainvalidation),對于個人用戶來說,安全系統相對較弱。認證方式是向whois信息中的郵箱發送郵件,并根據郵件內容通過認證;OV(組織驗證)面向企業用戶。在DV證書驗證的基礎上,證書還需要公司的授權。CA通過撥打信息庫中公司的電話進行確認;Ev(擴展驗證),URL列顯示注冊公司的信息。除上述兩項確認外,申請此類證書還要求公司提供金融機構的開戶許可證,這是非常嚴格的。OV和ev證書相當昂貴。所以問題來了。。。,CA組織擁有“生死攸關”的權力“如何頒發證書是他唯一擁有最終決定權的事情。瀏覽器只是一個驗證角色。如果CA隨機頒發證書怎么辦?或者,如果CA組織遭到黑客攻擊,導致證書泄漏,是什么導致了問題?對于大多數普通用戶來說,一旦網站出現問題,他們會認為瀏覽器告訴了他們我覺得網站是可信的,但我是黑人,瀏覽器騙了我,瀏覽器有問題!CA快樂地出售證書來賺錢。如果出現問題,瀏覽器制造商必須承擔責任。因此,擁有最大市場份額的chrome開始“找茬”。這不是谷歌第一次與數字證書領域的老大賽門鐵克(Symantec)展開競爭。如果你有問題,我會挑毛病的。2011年3月,擁有最高證書市場份額的Comodo公司遭到黑客攻擊,包括mail google在內的7個web域中的9個數字證書被盜。com、插件。mozilla。Org并登錄雅虎。當時,有人把這起事件稱為“CA版的9/11襲擊”。“同年,荷蘭CA組織diginotar也遭到黑客入侵,并發布了大量偽造證書。由于這些偽造證書,數百萬用戶受到了中介機構的攻擊。這些事件敲響了警鐘,結束了對CA的盲目信任時代,并預示了繼谷歌之后的一系列行動。prism gat“2013年的e事件”爆發后,斯諾登在泄露的文件中披露,美國國家安全局使用一些CA頒發的偽造SSL證書攔截并破解了大量HTTPS加密的網絡會話。谷歌不能再坐以待斃,推出了證書透明政策(CT)該政策的目標是為任何域名所有者或CA提供一個開放的審計和監控系統,以確定證書是否被錯誤頒發或惡意使用,從而提高HTTPS網站的安全性。該計劃具體做到了這一點:CA需要披露CA頒發的每個數字證書的數據,并將其記錄在證書日志中。該項目不會取代傳統的CA認證程序,但谷歌在監督CA方面發揮著作用。用戶可以隨時查詢以確保他們的證書是唯一的,并且沒有其他人在使用您的證書或偽造您的證書。證書透明度將使人們能夠快速地識別不正確或惡意發布的數字證書,從而減輕可能的安全問題,例如中間人攻擊。在接下來的幾年中,證書透明系統和監控服務確實幫助許多網站檢測偽造的證書,例如幫助Facebook團隊找到許多偽造證書的子域網站。從那時起,瀏覽器制造商和Ca機構之間的良好關系帶來了更多的東西。2015年9月和10月,針對賽門鐵克,谷歌表示發現賽門鐵克的Thawte未經同意為許多域名頒發了數千份證書,包括谷歌的域名和不存在的域名。賽門鐵克當時的解釋是:“這些證書只是測試證書,僅在一天的測試中就被吊銷,不會泄露或影響用戶。”賽門鐵克隨后解雇了相關員工。然而,這一系列行動并沒有改變谷歌對此事的決定。2015年12月,谷歌宣布chrome、Android和其他谷歌產品將不再信任賽門鐵克的“class3 public primaryca”根證書。中國watcom受到瀏覽器的“圍攻”“2016年1月1日,主要瀏覽器制造商開始停止接受使用舊SHA-1算法簽署的一些證書,因為SHA-1算法已被證明存在漏洞,偽造證書的成本相對較低。為了避免SHA-1停用策略,watcom將證書的頒發時間補回至2015年12月。但是,Mozilla基金會很快發現了它,然后Mozilla基金會(Firefox瀏覽器)決定了WATCOM及其STARSSL頒發的證書;Apple從證書存儲庫中刪除Watson的根證書;從chrome 56開始,在2016年10月21日之后,它不再信任watcom及其收購的startcom頒發的證書,直到它最終完全解除對這兩個CA的信任!瀏覽器制造商在促進證書升級和機制優化方面更加積極主動。谷歌對Ca機構的公開敦促就是最好的證明。2016年10月,谷歌通過公共電子郵件集團宣布,2017年10月之后發布的所有公共受信任網站SSL證書將符合chrome的證書透明度政策,以獲得chrome的信任。平衡即將打破?谷歌似乎也發現,它已經激怒了越來越多的Ca機構,但他們只是不這么做,而是自己做。2017年1月26日,谷歌宣布將建立自己的rootca(根認證機構),以更快地處理谷歌產品的SSL/TLS證書要求。當時,這種方法吸引了許多網民的疑問:“谷歌同時使用瀏覽器和Ca真的好嗎?”谷歌擁有全球覆蓋率最高的瀏覽器chrome,并在cabforum國際標準組織中發揮著重要作用。它有權控制全球CA機構的生死存亡,有權不信任任何CA根證書,現在建立自己的CA機構。這可能會顯著改變全球瀏覽器和Ca市場的格局。回到谷歌和賽門鐵克之間的戰斗事件:谷歌表示,它發現賽門鐵克在2015年錯誤頒發了30000多份證書。賽門鐵克回應說,誤發信息的數量只有127條,而谷歌則夸大了這一點。在雷鋒網(官方賬號:雷鋒網)的編輯中,具體數字對整體情況并不重要
