来源: 时间:2021-10-06 14:35:07
在赛门铁克 (Symantec) 报告称它在不知情的情况下向包括谷歌 (Google) 在内的网站颁发了伪造的安全证书之后,这家搜索巨头现在向安全公司发出警告,称前者需要对整个惨败进行清理。
在Google安全团队发布的博客文章中,该公司表示,2016年6月1日后,赛门铁克本身颁发的任何证书都将被要求支持Google制定的证书透明度准则。
Google的博客文章补充说: “在此日期之后,赛门铁克新发行的不符合Chromium证书透明度政策的证书在Google产品中使用时,可能会导致插页或其他问题。”
虽然赛门铁克发布了一份报告,并透露 “在域名所有者不知情的情况下发布了23份测试证书,涵盖了包括谷歌和Opera在内的五个组织”,但谷歌并不相信。 这家搜索巨头表示,他们发现赛门铁克发行的 “更多可疑证书”。在此处阅读赛门铁克关于该问题的完整报告。
[相关职位]
赛门铁克的一份10月报告发现,超过76个域的另外164个证书和针对从未注册的域颁发的2,458个证书。谷歌表示,他们的分析表明,赛门铁克对这些 “额外证书” 一无所知。
谷歌还特别告诉赛门铁克,它必须提供他们为解决此问题而采取的步骤的详细列表以及修复的时间表。谷歌博客文章补充说,他们预计赛门铁克将进行 “时间点准备评估和第三方安全审计”。
9月,ArsTechnica报告说赛门铁克 “解雇了员工,因为他们签发了未经授权的密码证书,从而可以冒充受HTTpS保护的Google网页。”
赛门铁克在博客中试图解释这个错误,“所有这些测试证书和密钥始终在我们的控制范围内,当我们发现问题时,它们会立即被撤销。”博客声称 “对任何领域都没有直接影响”。
这些假证书的问题在于,网络犯罪分子很容易冒充完全真实和合法的域,从而导致数据盗窃,网络钓鱼等。
相关推荐
猜你喜欢
