因應近一年半前賽門鐵克(Symantec)誤發大量憑證,Google周四宣佈即日起Google Chrome將逐步限制賽門鐵克發出的HTTPS憑證。
2015年9月,賽門鐵克坦承旗下Thawte憑證機構誤發Google.com延伸驗證憑證(Extended Validation,EV),並開除相關員工。當時賽門鐵克表示誤發了23個憑證,但Google最近發現其實總量超過3萬個。這意謂著眾多使用者可能因此連上包含惡意程式的網站,使其個人資料或帳密等陷入被竊取的風險。對此感到十分不滿的Google在2015年即揚言要對賽門鐵克採取制裁。
即日起,Chrome將不再承認賽門鐵克簽發的所有憑證。原本Chrome瀏覽器會在地址列顯示有效網域持有者,即賽門鐵克的名稱,但Google工程師Ryan Sleevi指出,從現在起至少一年間,Google不再顯示這項資訊,這意謂賽門鐵克的憑證被降級為較不安全的網域憑證。立即實施否認延伸驗證憑證的措施主要會對賽門鐵克客戶及網站使用者造成不便,但還不致於無法使用。
但未來Google計畫,透過Chrome升級逐漸廢止賽門鐵克旗下憑證機構簽發的現有所有憑證。由於2015年賽門鐵克簽發的憑證佔整個網際網路所有有效憑證的30%,此舉將導致數百萬Chrome用戶無法存取大量網站。為了降低衝擊,Chrome將在未來新版中,逐步縮短賽門鐵克憑證的有效期限。在Chrome 59中,這些憑證有效期間為33個月,到Chrome 64時,將縮短為9個月。
賽門鐵克對此感到不滿,表示Google動作令人措手不及,且這種措施也相當不負責任。賽門鐵克也提醒SSL/TLS客戶,目前「不用採取什麼行動」。
熱門新聞
2024-08-14
2024-12-20
2024-12-22
2024-12-23