谷歌坚决表态,并明确表示将不再容忍赛门铁克在处理安全证书时的错误。

谷歌指出,赛门铁克的草率行为,允许安全公司颁发错误的Web证书,必须停止。考虑到这一点,谷歌起草了一份指南和要求清单,以防止此类问题再次发生。

赛门铁克表示,“员工错误”是安全公司未经谷歌或赛门铁克批准就发布了大量证书的原因。这发生在9月份,是一个有风险的责任,允许黑客很容易地模仿HTTPS保护下的谷歌页面。经过内部调查,赛门铁克公司发现了安全漏洞的肇事者解雇了它的一些员工。

如果这类问题反复出现,互联网冲浪者的风险就会增加,可能涉及数据窃取、会话劫持,甚至远程监控。最近又发现了一些假证书,这表明问题比预期的要严重。

赛门铁克最近在一份声明中提到了一个类似的问题,并指出,在安全公司得知这个问题后,扩展验证(EV)预证书就被关闭了。它进一步表示,短期预证书不会对任何使用谷歌搜索页面的人造成威胁。

一份描述该问题的完整报告显示,另外23份测试证书在未经许可的情况下发出,这使得Opera、谷歌和其他三个品牌容易受到攻击。深度开采导致了发现164个新证书属于76个已建立的域名,还有2458个未注册域名的证书。

谷歌软件开发人员Ryan Sleevi强调他的公司在很短的时间内发现了更麻烦的证书。显然,赛门铁克发布的欺诈性证书数量巨大,达到数千个。

为了防止将来出现类似的问题,谷歌要求赛门铁克在其发布的所有证书上实现证书透明。如果赛门铁克不遵守,谷歌Chrome将提醒其用户,赛门铁克认为安全的网页是不安全的。

赛门铁克对其证书实施这些更改的最后期限是2016年6月1日。

从2016年6月2日开始,使用赛门铁克证书且与谷歌请求不一致的HTTPS网站将对页面的不安全内容发出警告。这可能会对这家保安公司的声誉造成巨大打击,并最终影响其市场价值。

谷歌希望赛门铁克进行第三方审计并启动即时就绪评估,以验证赛门铁克是否符合以下质量准则:

  • 认证机构的WebTrust原则和标准
  • 认证机构的WebTrust原则和标准-网络安全的SSL基线
  • 认证机构的WebTrust原则和标准-扩展验证SSL

这家搜索引擎巨头还要求赛门铁克解释将采取哪些措施来确保永远避免此类漏洞。

corber2万博体育登录首页022 TECHTIMES.com未经允许,请勿转载。