去年9月,谷歌宣布不再信任赛门铁克颁发的SSL/TLS证书。今年4月中旬开始,使用赛门铁克于2016年6月1日之前或2017年12月1日之后颁发证书的网站,会被谷歌Chrome浏览器弹出安全警告,用户必须点击忽略该警告才可以访问这些网站。

即便所用证书是中间商所颁发,但只要其信任根是赛门铁克的,依然会遭遇弹出警告。比如说,依赖赛门铁克作为信任根的Thawte、GeoTrust和RapidSSL,就会受到谷歌此决定的重创。如果不确定,可以查看自己证书的根证书颁发机构以确定是否是赛门铁克所颁发。

将于2017年4月17日发布的Chrome Build 66就将应用该警告策略,而将在10月23日发布的Build 70则会更进一步,直接不信任所有赛门铁克颁发的证书。

当然,不是所有人都用Chrome,也不是所有Chrome用户都会及时升级到最新版,但这依然会让还未获得其他机构所颁HTTPS证书的网站头疼。

问题是:有多头疼?该版Chrome的早期试用人员警告:他们在上网过程中不停遭遇使用非受信证书的网站,频繁看到该危险警告信息。幸运的是,一名安全工程师写了个脚本来测试该问题到底有多严重。

这名安全工程师在房屋租赁网站Airbnb工作,他爬取了Alexa上列出的前100万家大型网站的证书信息,测试这些网站会不会因谷歌的赛门铁克证书封杀策略而崩溃。

该脚本运行了11个小时,产生了一些非常有意思的结果:100万家大型网站中,仅11510家在4月还能正常运行,91627家到了10月就面临访问受阻的窘境了。

商业纷争

1万多家还是不少了,而且其中包括了一些大公司和政府机构,比如新能源汽车厂商特斯拉(Tesla.com)、滤水器公司碧然德(Briat.com)、澳大利亚能源监管机构(aer.gov.au)等。该问题不像千年蠕虫那么重大和紧迫,这些机构都可以从其他颁发机构购买证书,或者使用免费证书。但是,如果不采取行动,4月之后就有很多人要不开心了,到了10月,不开心的人数还会更多。

该测试脚本的运行结果已上传到网上,系统管理员或网站管理员可以查询一下,确保自家网站不在4月之后就头疼的行列。当然,更聪明的做法是将所有赛门铁克证书都换掉。

谷歌仅凭拒绝接受赛门铁克证书就将一家公司的整个证书颁发业务踢出市场,如此巨大的能量却没有引发什么太大的震荡,人们对此并不担心。

毕竟,如果不是赛门铁克老是错误颁发SSL/TLS证书,其产品的可信度早已流失,而且还直接损害到了google.com,谷歌也不会做出如此毫不留情的决定。

一家靠用户信任度维生的公司,就应该预想到发生信任危机的可怕后果。赛门铁克当然非常不高兴,在博客中使用了大量怒气值满满的语言评价此事,比如“不负责任的”、“夸大其词的”、“误导性的”等等。

该公司宣称,只有127个证书是错误颁发的,而不是之前所说的3万个。但事实摆在眼前,就在博客披露几个月后,随着谷歌的拒不让步,赛门铁克将其证书业务卖给了DigiCert。

不想在4月17日早晨被网站无法访问的投诉淹没的话,最好马上着手证书更换事宜。

脚本运行结果:

https://raw.githubusercontent.com/arkadiyt/symantec-certificate-checker/master/bad_m66.txt

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。