今年9月,賽門鐵克(Symantec)坦承旗下的Thawte憑證機構誤發google.com延伸驗證憑證(Extended Validation,EV),並開除相關員工。然而,Google卻發現,賽門鐵克竟然連誤發憑證的意外規模都搞不清楚。誤發的憑證數量並非最早查出的23個。在要求賽門鐵克重新稽核之後,第二次報告果然有更多的誤發憑證。因此Google決定針對賽門鐵克發行的憑證採取進一步措施。

Google軟體工程師Ryan Sleevi說明,最早賽門鐵克是在Google的要求下提出了「測試認證意外報告」,坦承他們在網域擁有者不知情的狀況下發行了23個測試憑證,這些憑證涵蓋了5個組織,包含Google與Opera。然而10月6日Google利用「憑證透明化」(Certificate Transparency)專案的紀錄,只花了幾分鐘就找到有其他有問題的憑證,於是再度要求賽門鐵克進行稽核。

賽門鐵克在10月12日出爐的第二次稽核結果顯示,賽門鐵克其實誤發了76個網域的164個憑證,以及基於未註冊網域的2456個憑證。Sleevi指出,此事突顯出憑證機構長久存在的問題,它們在收到通知並展開稽核之後,還無法正確評估誤發憑證的規模。

因此,Google決定自明年6月1日起,只要是由賽門鐵克發行的憑證都必須支援「憑證透明化」(Certificate Transparency)。而如果賽門鐵克在此期限之後未能改善相關問題,Google的Chrome及其他產品在遇到賽門鐵克憑證時將會出現警示或產生其他問題。

也要求賽門鐵克要更新意外報告,說明為何沒發現Google所找到的測試憑證,解釋每個出錯的原因,同時提出解決方案,確保未來不再發生誤發事件。

此外,Google也希望賽門鐵克導入時間點就緒評估(Point-in-time Readiness Assessment),以確定其憑證發行符合WebTrust所建立的各式標準,並由第三方負責進行賽門鐵克的安全稽核。

憑證機構(Certificate Authority,CA)屬於可信賴的第三方機構,負責發行數位憑證以確定憑證所有人的真實身份,雖然賽門鐵克宣稱這些測試憑證從未流出實驗室,但若相關憑證外流,他人就能利用此一憑證偽造特定網站,危及全球網路的信賴架構。(編譯/陳曉莉)

 


Advertisement

更多 iThome相關內容