兑现承诺,谷歌开始不信任赛门铁克PKI证书

0
1246

如果你在使用Chrome浏览器时,遇到了这一数字证书错误,那么谷歌就会考虑把这个网站的赛门铁克PKI证书列入不受信名单。

这周,我本打算访问我的有限服务供应商的网站,但当我使用谷歌的Chrome浏览器更新某些在线密码时,我遇到了下面这个数字证书错误:

过去几年时间里,数字证书错误已经变得不那么常见了。有诸多原因促使我对这个错误产生了兴趣,其中一个最重要的原因是,该错误所涉及的证书是由一家相当大的公司使用的,而不是某个不知名的小成本商店。

我立即点击了引起错误的链接前面的“不安全”标签,以便更详细地检查数字证书,看看是否能找出错误所在。我从事公钥基础设施(PKI)和数字证书方面的工作已经有20多年的时间了,我喜欢找到错误,看看是谁具体犯了什么错。

谷歌的研究表明,一个人对PKI和数字证书了解得越多,就越有可能忽略数字证书错误,从而访问有数字证书错误的网站(这可能是一个糟糕的举动)。有好几年,这导致当遇到数字证书错误时,谷歌和Microsoft都没有提供足够的数字证书信息。幸运的是,这两家公司现在似乎都改变了方向,当我们期望这样做时,它们能让我们这些数字证书爱好者进行更详细的检查。

于是,我打开电脑,查看了这个有问题的数字证书。以下是我看到的信息:

简而言之,我找不到任何错误——至少没有一个是容易辨认的。该证书使用的是SHA256(不是SHA1),有一个2048位的RSA密钥(不是1024位)。此外,*.brighthouse.com这个主题与我正在查看的网站页面是匹配的,并且是重新输入在主题别名(SAN)字段下的。我看到的大多数证书错误都发生在主题或SAN字段中,因为它们会被链接到URL域名,但是我找不到任何容易识别的错误。这把我难住了。

所以,我马上又用Microsoft Edge浏览器打开了这个网站,发现网站和证书都显示无误。在Edge浏览器中,我查看了数字证书的序列号和指纹值,并与谷歌Chrome中的数字证书进行了对比,发现两者是匹配的。证书是一样的,但出于某种原因,Chrome并不喜欢它。于是我又关闭Edge浏览器切换回了Chrome。

然后我做了一件我一开始就应该做的事。我放慢速度,开始仔细研究Chrome显示的错误信息:

在这里,我看到了我需要的唯一线索。错误消息是NET:: ERR_CERT_SYMANTEC_LEGACY。没错,就是这样。去年,谷歌与赛门铁克就一系列的问题进行了争论,其中就包括赛门铁克通过其一个或多个PKI业务(VeriSign、Thawte、GeoTrust、RapidSSL等)向不属于谷歌的实体颁发包含谷歌域名的证书。
这在去年的计算机安全领域是一件大事。我以为在拔出左轮手枪之前,人们会说“他们在吵架”。最终,谷歌决定不再信任赛门铁克或任何赛门铁克数字证书问题,他们将很快使所有由赛门铁克颁发的证书失效,同时也会采取许多其他行动。这让世界的许多地方感到十分恐慌,因为,即使不是数亿张,数千万张赛门铁克PKI下属机构所发布的公共证书将牵涉其中。谷歌的举动可能导致数以百万计的网站出现错误,而这些网站原本是深受用户信任和喜爱的。

谷歌在咨询了包括备受尊崇的CA/Browser论坛公共PKI标准组织在内的业界的许多人士后,决定在更长的时间推迟并逐步取消这些服务。

而现在这一时候到了。

谷歌已经对一些时间表进行了解释,以及影响是如何在不同的Chrome版本中逐步实现的。事实证明,并不是所有大公司都这么做了,它们本该在此之前更新证书的。好吧,所有抱怨的客户和高管可能很快就会得到纠正。

虽然我和许多人都认为谷歌的解决方案中有一部分是很拙劣的,但我尊重谷歌确保自身产品安全的权利,因而过程中难免犯一些错误。我真希望错误消息能提供更多信息。如果消息中少一些“黑客正在攻击你”,多一些“你所连接的公司使用了无效的数字证书,点击这里查看更多细节”,那就太棒了。我不知道为什么警告信息对普通的浏览者提供的有用信息如此之少。也许这就是为什么我最初的反应是掩盖警告信息,自己去寻找细节。

这就是说,如果你使用谷歌Chrome浏览器,那么数字证书错误将会增加。如果你在警告消息中看到Symantec_Legacy部分,你就会知道它是关于什么的。

LEAVE A REPLY

Please enter your comment!
Please enter your name here