巨头怼巨头，谷歌封杀赛门铁克证书背后的恩怨情仇

2011年3月，证书市场份额前列的科摩多（Comodo）公司遭黑客入侵，七个Web域共9个数字证书被窃，包括：mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。当时有人称那次事件为“CA版的 911攻击。”

同年，荷兰的 CA 机构 DigiNotar 同样遭到了黑客入侵，颁发了大量的伪造证书。由于这些伪造证书，数百万用户遭到了中间人攻击。

这些事件给人们敲响了警钟，结束了人们盲目信任CA的时代，也为谷歌之后的一系列动作埋下了伏笔。

2013年“棱镜门事件”爆发，斯诺登泄露的文件中透露：美国国家安全局就利用一些 CA 颁发的伪造SSL证书，截取和破解了大量 HTTPS 加密网络会话。

谷歌再也坐不住了，同年便发起了证书透明度政策（Certificate Transparency，简称CT）。这一政策的目标是提供一个开放的审计和监控系统，让任何域名所有者或者 CA 确定证书是否被错误签发，或者被恶意使用，从而提高HTTPS网站的安全性。

这个计划具体是这么来做的：

要求CA公开其颁发的每一个数字证书的数据，并将其记录到证书日志中。

这个项目并没有替代传统的CA 的验证程序，但是谷歌起到了一个监督CA的作用，用户可以随时查询来确保自己的证书是独一无二的，没别人在使用你的证书，或者伪造你的证书。

证书透明度将让人们可以快速地识别出被错误或者恶意颁发的数字证书，以此来缓解可能会出现的安全问题，例如中间人攻击。

之后的几年里，证书透明度系统和监控服务也确实帮助了不少网站检测出了伪造证书，比如帮助 facebook团队发现了不少伪造其证书的子域名网站。

从那时开始，浏览器厂商和 CA 机构之间的其妙关系就开始导致了更多事情。

2015年4月，谷歌和火狐浏览器都宣布不再信任中国CNNIC数字证书，原因是埃及MCS Holding公司使用CNNIC签发的中级证书为多个Google域名签发了假的证书。虽然后来调查发现这事是中国CNNIC授权的证书发布代理商干的，但并没有改变他们的决定。

2015年9月和10月，Google 称发现赛门铁克旗下的 Thawte 未经同意签发了众多域名的数千个证书，其中包括Google旗下的域名和不存在的域名。

赛门铁克当时的解释是：“那批证书只是一个测试证书，仅测试一天就吊销了，没有泄露出去也没有影响到用户” 。赛门铁克随后还是炒掉了相关的雇员。然而这一系列动作并没有改变谷歌的对此事的决策。

2015年12月，Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。

2016年1月1日，各大浏览器厂商开始停止接受一些用陈旧的SHA-1 算法进行签名的证书，因为SHA-1算法已经被证实可破解，伪造证书的成本比较低。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!