月光微博客

月光博客的微型博客和微型网志

« 深圳数字电视真差劲支付宝推出“扶老人险” »

赛门铁克为Google域名颁发假证书

  Google安全博客报告,赛门铁克旗下的Thawte CA在Google不知情下为google.com和 www.google.com域名颁发了一个扩展验证前证书(Extended Validation pre-certificate)。Google是从Chrome自动转发的证书透明度日志中发现这一情况。Google和赛门铁克讨论了这个问题,对方证实证书是在内部测试流程中颁发的,有效期只有一天,没有泄露出去,没有影响到用户。这个情况与CNNIC向埃及的MCS Holding颁发中级证书还是有很大区别的。

  赛门铁克随后表示,它解雇了相关雇员,并展开了内部审查,发现了其雇员还为23个域名颁发了测试证书,其中包括Google和Opera。

  Google认为,赛门铁克内部审计并不彻底,它花了几分钟就从 Certificate Transparency日志里发现了更多有问题的证书。赛门铁克随后证实,它发现了76个域名的164个问题证书,2456个未注册域名证书。Google批评赛门铁克连内部审计都做不好。它要求从2016年6月1日起,赛门铁克颁发的所有证书都必须支持Certificate Transparency,不支持的赛门铁克新颁发证书可能会在使用Google产品时出现问题。Google要求赛门铁克更新他们的报告,详细解释如何采取措施阻止类似事件发生。

  作者:williamlong


发表评论:

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

日历

<< 2017-8 >>

Sun

Mon

Tue

Wed

Thu

Fri

Sat

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

订阅博客

  • 订阅我的微博:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间

站内搜索

热文排行

最新评论及回复

最近发表

本站采用创作共用版权协议, 要求署名、非商业用途和保持一致. 转载本站内容必须也遵循“署名-非商业用途-保持一致”的创作共用协议.

This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.