V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
yexm0
V2EX  ›  SSL

话说买了 Symantec 家 EV 证书的公司现在要哭了吧

  •  
  •   yexm0 · 2017-03-25 11:59:08 +08:00 · 9077 次点击
    这是一个创建于 2805 天前的主题,其中的信息可能已经有所发展或是发生改变。
    27 条回复    2017-08-03 00:47:36 +08:00
    chromee
        1
    chromee  
       2017-03-25 12:12:45 +08:00 via Android
    赛门铁克第一 CA 地位绝对没得说
    发的 EV 证书都不知道有多少了
    我觉得赛门铁克应该会迅速解决该问题,不然客户不都全跑了
    jasontse
        2
    jasontse  
       2017-03-25 15:02:02 +08:00 via iPad
    喜闻乐见(看热闹脸
    UnisandK
        3
    UnisandK  
       2017-03-25 15:18:48 +08:00
    感觉阿里也是一口毒奶
    trepwq
        4
    trepwq  
       2017-03-25 15:39:50 +08:00 via iPhone
    @UnisandK 阿里云刚吧 starcom 换成赛门铁克没多久,又出这事,哈哈
    wql
        5
    wql  
       2017-03-25 15:49:13 +08:00 via Android
    symatec 是大而不倒,如果规模小点这问题直接就 startcom 一样了……
    kaneg
        6
    kaneg  
       2017-03-25 16:51:26 +08:00
    谷歌现在逐渐掌控了浏览器的话语权,可以跟卖证书的正面刚了
    xuan880
        7
    xuan880  
       2017-03-25 20:02:58 +08:00 via Android
    我记得上次看到谷歌匿名收购根证书公司的新闻,有人知道有啥后续吗?
    binux
        8
    binux  
       2017-03-25 20:05:57 +08:00
    谷歌不是 CA ,胜似 CA 他爸
    chromee
        9
    chromee  
       2017-03-25 20:11:07 +08:00 via Android
    @xuan880 是沃通秘密收购 startcom 被 Mozilla 和 Google 吊销 一年后才能重新申请恢复
    chromee
        10
    chromee  
       2017-03-25 20:11:34 +08:00 via Android
    @binux 现在是 CA 了
    alect
        11
    alect  
       2017-03-25 20:16:57 +08:00
    谷歌自己的 CA 很快也就出来了,到时候估计只能用谷歌家的了……
    xuan880
        12
    xuan880  
       2017-03-25 20:27:21 +08:00
    @chromee 不是,是另一个新闻,大致内容应该是谷歌创建自己的根证书,然后似乎和沃通一样没有进行什么通告之类的,最后说什么 Mozilla 在对这个问题进行讨论。
    xuan880
        13
    xuan880  
       2017-03-25 20:28:30 +08:00
    Quaintjade
        14
    Quaintjade  
       2017-03-25 23:37:13 +08:00   ❤️ 1
    这惩罚实质上比对 WoSign 的惩罚更重吧。
    - EV 证书是 CA 最主要的利润来源,撤掉所有赛门铁克证书的 EV 标识(包括已签发证书),至少一年内不给恢复,这是直接断了财路啊。
    - 同时缩减新发证书最长有效期为 9 个月,连一年都不到,这还能当商业证书卖吗?

    WoSign 根证书被干掉之后,马上买了 Certum 的交叉签名,自己变成二级 CA 照样发证书。
    上述惩罚如果是针对赛门铁克品牌的话, WoSign 那招可能不行,估计只能通过收购其他 CA 赚钱了。
    YvesX
        15
    YvesX  
       2017-03-25 23:53:16 +08:00
    这很“不作恶”
    Quaintjade
        16
    Quaintjade  
       2017-03-26 00:06:28 +08:00
    赛门铁克的回应:
    https://www.symantec.com/connect/blogs/symantec-backs-its-ca

    "... Google ’ s statements about our issuance practices and the scope of our past mis-issuances are exaggerated and misleading. ..."

    "... In the event Google is referring to, 127 certificates – not 30,000 – were identified as mis-issued, and they resulted in no consumer harm. ..."

    "... While all major CAs have experienced SSL/TLS certificate mis-issuance events, Google has singled out the Symantec Certificate Authority in its proposal even though the mis-issuance event identified in Google ’ s blog post involved several CAs. ..." ←这是要把所有主流 CA 拖下水的节奏啊 233
    ldbC5uTBj11yaeh5
        17
    ldbC5uTBj11yaeh5  
       2017-03-26 00:13:05 +08:00   ❤️ 1
    谷歌的报复。之前赛门铁克仗着自己 too big to fail 对谷歌的挑战爱理不理,还暗示自己是规则制定者。

    现在被谷歌报复了。
    kn007
        18
    kn007  
       2017-03-26 00:23:31 +08:00
    即便如此, Symantec 还是比较受认可的。
    wql
        19
    wql  
       2017-03-26 01:02:50 +08:00 via Android
    @jigloo 论报复, Google 的一部分代码签名证书还是 symatec 发的呢……
    wdlth
        20
    wdlth  
       2017-03-26 01:04:50 +08:00
    看看 Symantec 要做出了一个艰难的决定,吊销 GeoTrust 颁发的 Google Internet Authority G2 证书……
    wdlth
        21
    wdlth  
       2017-03-26 01:15:49 +08:00
    https://bugzilla.mozilla.org/show_bug.cgi?id=1325532
    Google 一边想要加自己的证书,一边禁别人的证书……
    RqPS6rhmP3Nyn3Tm
        22
    RqPS6rhmP3Nyn3Tm  
       2017-03-26 02:24:13 +08:00 via iPhone
    吃瓜群众表示很开心……如果 Mozilla 把谷歌的根删了就更开心了。谷歌最近霸道到反感了
    LE 永不倒!
    wql
        23
    wql  
       2017-03-26 11:07:18 +08:00 via Android
    @wdlth 刚刚去看了一下,这就很爆笑了。
    namebus
        24
    namebus  
       2017-03-27 17:58:22 +08:00
    放心吧,不会有什么事,最后就是两家公司的博弈和谈判, Symantec 对审核的控制还是最为严格的,上次出事其实只是一家韩国的代理商(有独立通过 WebTrust 审计)没按规范审核颁发证书,从行业标准来说,这个过错不应该算在 Symantec 头上,现在 Google 有点想强奸 Symantec 的感觉,哈哈。
    uncleroot
        25
    uncleroot  
       2017-04-17 21:56:38 +08:00
    谷歌一直用的 GeoTrust 不就是 Symantec 的么。
    ghostheaven
        26
    ghostheaven  
       2017-08-01 08:23:45 +08:00 via Android
    Chrome 已经决定明年 4 月彻底禁用赛门铁克根证书了
    GreyChou
        27
    GreyChou  
       2017-08-03 00:47:36 +08:00
    刚换证书,就出事!
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3492 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 10:50 · PVG 18:50 · LAX 02:50 · JFK 05:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.