V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xmh51
V2EX  ›  业界八卦

赛门铁克为 Google 域名颁发证书

  •  
  •   xmh51 · 2015-09-20 23:00:03 +08:00 · 2477 次点击
    这是一个创建于 3357 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Google 安全博客报告,赛门铁克旗下的 Thawte CA 为 google.com 和 www.google.com 域名颁发了一个扩展验证前证书( Extended Validation pre-certificate )。 Google 是从 Chrome 自动转发的证书透明度日志中发现这一情况。它和赛门铁克讨论了这个问题,对方证实证书是在内部测试流程中颁发的,有效期只有一天,没有泄露出去,没有影响到用户。
    之前的 CNNIC 新闻
    MCS 在周三对此谴责作出了回应。 MCS 声称它是埃及及中东地区的一家大型安全产品分销商,与许多国际知名安全公司有过合作,它是在 3 月 11 日与 CNNIC 签署了正式的演示协议去测试计划引入中东地区的云端安全服务, 3 月 19 日它从 CNNIC 获得了有效期为两周的中级证书,同一天开始在实验室的保护环境中进行测试。证书安装在防火墙上,防火墙有一个充当 SSL 转发代理的主动策略,自动为浏览的域名生成证书。在周五和周六一位 IT 工程师使用 Google Chrome 浏览网站结果防火墙自动生成了 Google 域名的证书,而浏览器将假的证书信息报告给了 Google 。 MCS 称,它在收到 CNNIC 的事故通知后立即从防火墙删除了证书,表示这是一次人为的失误。
    CNNIC 声明 : CNNIC 服务器证书业务合作方 MCS 公司确认其不当签发的测试证书仅用于其实验室内部测试。
    最后 Google 宣布旗下产品删除 CNNIC 根证书

    新闻要对比着看。

    9 条回复    2015-09-21 17:38:08 +08:00
    oott123
        1
    oott123  
       2015-09-21 00:38:52 +08:00 via Android
    pre-certificate 是啥,伸手求一下科普
    xenme
        2
    xenme  
       2015-09-21 06:22:58 +08:00 via iPhone
    大家赶紧把 Symantec 的跟证书删了。
    jasontse
        3
    jasontse  
       2015-09-21 07:46:54 +08:00 via Android
    一个是 Root CA 内部自己玩,一个是往外卖而且还是防火墙厂商用。有什么好比较的。
    fengxiang
        4
    fengxiang  
       2015-09-21 07:48:44 +08:00 via Android
    放心吧,谷歌回来了就不用证书了,人家直接去机房查服务器了。
    pmpio
        5
    pmpio  
       2015-09-21 08:55:48 +08:00 via Android
    不知有没伪造微软的证书? windows update 还安全么?我这从官网 ftp 下载的 Firefox 和 Opera 都是 Symantec 发行的证书签署的。。。。
    czb
        6
    czb  
       2015-09-21 09:25:12 +08:00 via Android
    @oott123 同问
    cnbeining
        7
    cnbeining  
       2015-09-21 09:46:22 +08:00   ❤️ 1
    关于前证书的不算科普:

    https://www.cnbeining.com/?p=987

    简单的说:

    最终也没说出个子丑寅卯。

    @oott123
    xuan880
        8
    xuan880  
       2015-09-21 12:09:54 +08:00 via Android
    内部测试,呵呵谁知道到底是什么内部测试。
    squid157
        9
    squid157  
       2015-09-21 17:38:08 +08:00 via iPhone
    所以就是 PKI 体系里面,是信任链,你相信 Root CA 以及他信任的中级 CA 。这事情,中间环节有一个混蛋都不行。
    CNNIC 在于,有些人就不信任那个 Root CA 。当然可以不信任任何一个政府部门的 Root CA ,因为很多国家的政府都喜欢自己搞一个 CA ,也有人选择不信任来自一个地区的所有 Root CA ,例如 RevokeChinaCerts ,大中华区的 CA 无一幸免。
    当然你如果跟自己过不去也可以谁都不信任
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1198 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 18:39 · PVG 02:39 · LAX 10:39 · JFK 13:39
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.