火狐浏览器不再信任由赛门铁克颁发的TLS证书

    今天去村头蹭村长家WiFi更新手机火狐浏览器看到更新日志写在不再信任赛门铁克(Symantec)颁发的TLS证书了

    然后我赶紧趁着这WiFi上网冲浪查了一下,原来该系列证书早已经被Google Chrome等多数主流浏览器彻底抛弃掉了(原谅大山深处网络信号不佳)。抛弃的原因是此前赛门铁克多次违规签发证书且规避检查,最终还是被发现内部管理混乱无法保证证书安全。当时的事情是这样的:

    2017年3月份谷歌和火狐的调查人员发现赛门铁克打破了行业规则误签发127张SSL证书随着调查进一步开展发现误签发的证书数量达到惊人的3万多张。

这个数字震撼了业界专家因为赛门铁克是市场上最大的CA之一很少有人敢于做出反应。谷歌是第一个对赛门铁克SSL发行程序表示不满的并宣布有意在Chrome中逐步删除对Symantec证书的支持。

    谷歌指出赛门铁克未能正确验证域名对于申请特殊域名SSL证书的申请者身份审核草草了事。此外赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核也没有对这一缺陷进行改进。因此谷歌认为赛门铁克没有足够的监督能力。

    这已经不是谷歌第一次警告赛门铁克错误签发证书的问题

    2015年9月和10月Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书其中包括Google旗下的域名和不存在的域名。Google认为该Root CA签发的证书可能被用于拦截、破坏或冒充Google产品或用户的安全通信且赛门铁克在知道以上威胁的情况下也不愿详细说明签发这些证书的用途。

    2015年12月Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的”Class 3 Public Primary CA”根证书。

    最终结果

    起初赛门铁克否认所有不合规行为称之为“夸张和误导”的结果。尽管如此赛门铁克已经预见到不好的结果最终以谈判达成共识。7月28日谷歌宣布了赛门铁克同意的提案将执行时间从原本计划的今年10月份Chrome 62延期至明年4月份(Chrome 66)分阶段实施并最终完全移除对赛门铁克SSL证书的信任。

第一阶段赛门铁克变成子CA2017年12月1日

    2017年12月1日-赛门铁克与另一个SSL证书颁发机构合作以赛门铁克的名称颁发证书。赛门铁克将在技术上成为一家子CASub CA。

谷歌和其他浏览器厂商希望将SSL签发权转移到另一个CA的基础设施上防止赛门铁克破坏规则为不应该签发证书的站点颁发证书。与此同时赛门铁克可以默默地准备一个新的基础设施构建其新的SSL业务。然而该公司已经开始考虑出售CA业务。

     第二阶段Chrome 66不信任赛门铁克部分证书2018年4月

    谷歌Chrome 66发布时预计2018年4月将开始第二阶段的惩罚。从Chrome 66版本开始Chrome将不信任2016年6月1日之前签发的所有赛门铁克SSL证书。

    第三阶段Chrome 70完全不信任赛门铁克所有证书2018年10月

    谷歌Chrome 70发布时预计2018年10月Chrome将不信任2017年12月1日之前签发的所有赛门铁克SSL证书。

    谷歌Chrome将删除赛门铁克当前所有根证书赛门铁克收购的其他CA如GeoTrustThawte和Rapid SSL都将遭受同样的惩罚FirFox、Safari等浏览器厂商可能不久后也会跟进。在应用程序或网站上使用了Symantec SSL证书及其旗下GeoTrustThawte和Rapid SSL证书的网站管理者应尽快替换其他全球信任的SSL证书。

有鉴于此诸如谷歌浏览器和火狐浏览器早已预告停止信任赛门铁克证书,奈何很多网站还没有更换有效证书。

火狐浏览器决定推迟彻底不信任:

统计数据显示全球排名前100万名的网站里至少还有10,000个网站仍然在使用已经不被信任的赛门铁克证书。而全球无数个网站里仍然使用赛门铁克证书的网站远远超过10000个,若是停止信任则用户将无法正常访问。

火狐浏览器原计划在日前发布的V63版里停止信任赛门铁克,但可能影响太大火狐还是决定先延迟停止信任。但即便如此到本月下旬火狐浏览器还是会彻底干掉赛门铁克,到时候用户访问那些网站还是被默认遭到拦截。

火狐浏览器访问报错如下:

检测到潜在的安全威胁,因此没有继续访问 wwwXXXX.com。若您访问此网站,攻击者可能会尝试窃取您的密码、电子邮件、信用卡等信息。

网站凭借证书颁发机构所签发的证书证明自己的身份。大多数浏览器都将不再信任 www.XXXX.com 所用证书的颁发机构赛门铁克(Symantec)。

您可以向网站管理员反馈此问题。

www.XXXX.com 使用了无效的安全证书。 www.XXXX.com 所用证书的颁发机构没有遵守安全实践,该证书不再可信。这些由赛门铁克(Symantec)颁发的证书(包括 Thawte、GeoTrust 和 RapidSSL 品牌)都不再安全。

错误代码:MOZILLA_PKIX_ERROR_ADDITIONAL_POLICY_CONSTRAINT_FAILED如果用户后续访问某些网站出现上述提示或错误代码即代表网站仍在非常不负的使用无法保证安全的旧证书。

原赛门铁克客户无需付费即可更换:

赛门铁克证书业务已经卖身给 DIGICERT 公司,此前购买赛门铁克系列证书的用户只需要重新申请换发即可。换发后的新证书由 DIGICERT 进行签发因此会得到所有浏览器信任,用户也无需额外付费即可轻松换发证书。

受影响的包括赛门铁克及其子品牌Thawte、GeoTrust、RapidSSL,由这些 CA 签发的证书都需要及时更换。

当然你也可免费申请由DIGICERT合作伙伴签发的数字证书:TrustAsia 大部分支持申请该SSL证书的云服务提供商都是可以免费申请的,包括但不限于阿里云、腾讯云等,宝塔面板也能直接申请TrustAsia 的DV型证书。

我得赶紧回家了,大半夜的也挺冷。 

我想忘记你,又怕忘记你

发表评论

插入图片
火狐浏览器不再信任由赛门铁克颁发的TLS证书

长按储存图像,分享给朋友

微信扫一扫

微信扫一扫

这 是 一 个 公 告

noreply@weyooz.cn

未由时光自动发送通知邮箱

打不开的友链暂时隐藏,能访问后恢复