賽門鐵克誤發3萬個EV延伸驗證憑證Extended Validation!Chrome、Firefox不再信賴所有賽門鐵克憑證

賽門鐵克2015年誤發逾3萬個憑證,Google祭制裁:Chrome逐步不再承認其憑證

Google周四宣佈即日起Google Chrome將逐步限制賽門鐵克發出的HTTPS憑證。 

2015年9月,賽門鐵克坦承旗下Thawte憑證機構誤發Google.com延伸驗證憑證(Extended Validation,EV),並開除相關員工。當時賽門鐵克表示誤發了23個憑證,但Google最近發現其實總量超過3萬個。這意謂著眾多使用者可能因此連上包含惡意程式的網站,使其個人資料或帳密等陷入被竊取的風險。對此感到十分不滿的Google在2015年即揚言要對賽門鐵克採取制裁。 

即日起,Chrome將不再承認賽門鐵克簽發的所有憑證。原本Chrome瀏覽器會在地址列顯示有效網域持有者,即賽門鐵克的名稱,但Google工程師Ryan Sleevi指出,從現在起至少一年間,Google不再顯示這項資訊,這意謂賽門鐵克的憑證被降級為較不安全的網域憑證。立即實施否認延伸驗證憑證的措施主要會對賽門鐵克客戶及網站使用者造成不便,但還不致於無法使用。

但未來Google計畫,透過Chrome升級逐漸廢止賽門鐵克旗下憑證機構簽發的現有所有憑證。由於2015年賽門鐵克簽發的憑證佔整個網際網路所有有效憑證的30%,此舉將導致數百萬Chrome用戶無法存取大量網站。為了降低衝擊,Chrome將在未來新版中,逐步縮短賽門鐵克憑證的有效期限。在Chrome 59中,這些憑證有效期間為33個月,到Chrome 64時,將縮短為9個月。

賽門鐵克對此感到不滿,表示Google動作令人措手不及,且這種措施也相當不負責任。賽門鐵克也提醒SSL/TLS客戶,目前「不用採取什麼行動」。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

都兩年了不算什麼措手不及吧yell

我要成為幸運的一般會社員

其實我轉貼的新聞,有很多其實只有看一下標題,並沒有詳細看新聞內容。tongue-out這一篇新聞,我看不懂為什麼「Google.com延伸驗證憑證」要發3萬個?undecided該不會是Google.com有3萬個網站吧?yell

反正都快2年了,那些「Google.com延伸驗證憑證」大概也快要過期,或是早就過期了!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

子域名千千萬,每個站點都可偽裝成google某服務的提供商了

我要成為幸運的一般會社員

可偽裝成google某服務的提供商?think可以偽裝成YouTube嗎?yell今天的新聞說Let's Encrypt也是隨便亂發行!yell

Let's Encrypt每天憑證發行量達到100萬張、發了近1.5萬張憑證予PayPal網釣網站

雖然insoler也是延伸驗證憑證(Extended Validation,EV)等級,但是阿光我還是不太懂這一堆奇怪「免費憑證」「延伸驗證憑證」到底是要用來「證明」什麼?tongue-out

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

曾誤發憑證遭Google降安全評等,賽門鐵克把數位憑證業務賣了!

資安業者賽門鐵克(Symantec)周三(8/2)宣布,將把旗下的數位憑證業務出售給DigiCert,拋出了手上的燙手山芋。

此次的交易內容包含賽門鐵克的網站安全(Website Security)業務與相關的公鑰基礎建設(PKI)解決方案,根據協議,DigiCert將支付9.5億美元的現金與30%的DigiCert股權予賽門鐵克。

Google是在2015年發現賽門鐵克誤發了Google與其他組織的SSL憑證給錯誤的對象,且在清查之後顯示賽門鐵克的憑證誤發數量超過3萬個,而非當初所坦承的23個,促使Google決定於Chrome瀏覽器中調降賽門鐵克憑證的安全等級,同時逐步縮短賽門鐵克憑證的有效期限。

在受到Google的公開指責之後,賽門鐵克的SSL憑證業務明顯下滑,根據W3Techs的調查,去年8月賽門鐵克還是全球第二大的憑證發行商,市佔率為23%,僅次於Comodo的40%,但今年8月,Comodo仍維持40%,居次的是IdenTrust的28.9%,而賽門鐵克的市佔率已掉至14%,佔據第三名位置。

其實今年中便傳出賽門鐵克有意以10億美元脫手SSL憑證業務的消息,市場分析指出,賽門鐵克也可選擇重新整頓SSL憑證發行業務,只是出售似乎是個更簡單的途徑。

賽門鐵克執行長Greg Clark表示,將網站安全與PKI解決方案移交給DigiCert將讓賽門鐵克更能聚焦於提供雲端時代的安全服務,而專門提供身分識別與加密解決方案的DigiCert亦是相關解決方案的完美歸宿。

DigiCert原本也從事憑證發行業務,但市佔率只有2.2%,憑藉著賽門鐵克的資產則讓DigiCert一躍成為全球第三大SSL憑證發行商。


全球第二大的憑證發行商?surprised想不到「全球第二大的憑證發行商」居然賣給「市佔率只有2.2%」的公司!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Chrome與Firefox雙雙在今年10月將終止對賽門鐵克憑證的信賴

Google與Mozilla都決定在今年10月出爐的瀏覽器版本中移除對賽門鐵克(Symantec)憑證的信賴,其中,Mozilla於本月中旬釋出的Firefox 63 Nightly測試版已作出相關改變,並強烈建議網站業者儘快置換仍在使用中的賽門鐵克憑證。

Google在2015年發現賽門鐵克誤發了Google與其它組織的SSL憑證予錯誤的對象,且在清查之後發現賽門鐵克誤發的憑證數量超過3萬個,2017年3月Google即宣布要逐步淘汰賽門鐵克所發出的SSL憑證,賽門鐵克則是在同年8月宣布將數位憑證業務出售給DigiCert,拋出了手上的燙手山芋。

從今年4月釋出的Chrome 66開始,Chrome就不再信任賽門鐵克於2016年12月1日以前,以及2017年12月1日之後所核發的憑證,但仍信任這期間由賽門鐵克核發的憑證。但從Chrome 70開始,就會停止信任所有賽門鐵克憑證。

Chrome 70的Canary版本是在7月20日出爐,Beta版為9月13日,正式版則是10月16日。

至於Firefox也跟上了Chrome的腳步,於本月剛釋出的Firefox 63 Nightly已不再信賴所有賽門鐵克憑證,Firefox 63的Beta版預計於9月5日釋出,正式版則會在10月23日發表。

根據Mozilla在今年7月的統計,在全球的前100萬個網站中,仍有3.5%使用賽門鐵克憑證,但Mozilla相信隨著Chrome 70與Firefox 63即將來臨,該比例將會快速減少。

目前只要是使用Chrome 70 Canary或Firefox 63 Nightly造訪基於賽門鐵克憑證的網站,都會跳出安全警告,而且倘若網站所使用的JavaScript或CSS樣式表等資源是由基於賽門鐵克憑證的主機提供,那麼網站可能無法正常運作。

Mozilla鼓勵所有的網站業者在10月前換掉已不被信賴的賽門鐵克憑證,Google則說,若需要更多的時間替換賽門鐵克憑證,可藉由使用者政策的設定來支援舊版的賽門鐵克憑證,但此一作法只在Chrome 73版之前有效,在Chrome 73之後,Chrome瀏覽器與Chrome作業系統上的所有賽門鐵克憑證一律都會被封鎖。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Chrome 70 不再支援賽門鐵克舊憑證 可能導致用戶無法存取上千網站

去年Google宣佈自今年10月起Chrome將不再信任賽門鐵克(Symantec)的憑證,預定本周推出的Chrome 70釋出後,恐將有上千個知名網站無法為用戶存取。

2015年賽門鐵克旗下的Thawte憑證機構誤發Google憑證給第三方組織高達3萬個,引發Google祭出處份,宣佈自Chrome 66版不再信任由賽門鐵克在2016年6月以前所發行的憑證,並從今年10月的Chrome 70移除對所有賽門鐵克憑證的信任,包括Thawte、VeriSign、Equifax、GeoTrust和RapidSSL等,當時呼籲各家採用賽門鐵克憑證的網站應儘早更換。但是仍然相當多知名網站仍然使用舊的憑證。

安全研究人員Scott Helme利用網頁機器人爬了Alexa流量前100萬大網站,發現有高達1,139個網站可能因未更新憑證而無法存取。包括Capital One銀行、法拉利、賓州政府、司法研究資源網站SSRN、中國Oppo、GlobalFoundries,以及台灣城邦集團下的Popo.tw及起點中文網(qidian.com.tw)。他也將這個掃描結果釋出供各界參考。

網站採用HTTPS加密可確保使用者瀏覽器和網站之間的內容以加密傳輸以免被他人竊取,還可防止使用者連到釣魚網站。這也是為什麼Chrome、Firefox等瀏覽器極力要求網站採用HTTPS,而憑證正是用戶存取HTTPS網頁的關鍵。除了Chrome 70,Mozilla也宣佈從本月的Firefox 63 正式版起,也不再支援舊版賽門鐵克憑證。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏