话说买了 Symantec 家 EV 证书的公司现在要哭了吧

2017-03-25 11:59:08 +08:00
 yexm0
官方讨论帖: https://groups.google.com/a/chromium.org/forum/#!topic/blink-dev/eUAKwjihhBs
9098 次点击
所在节点    SSL
27 条回复
chromee
2017-03-25 12:12:45 +08:00
赛门铁克第一 CA 地位绝对没得说
发的 EV 证书都不知道有多少了
我觉得赛门铁克应该会迅速解决该问题,不然客户不都全跑了
jasontse
2017-03-25 15:02:02 +08:00
喜闻乐见(看热闹脸
UnisandK
2017-03-25 15:18:48 +08:00
感觉阿里也是一口毒奶
trepwq
2017-03-25 15:39:50 +08:00
@UnisandK 阿里云刚吧 starcom 换成赛门铁克没多久,又出这事,哈哈
wql
2017-03-25 15:49:13 +08:00
symatec 是大而不倒,如果规模小点这问题直接就 startcom 一样了……
kaneg
2017-03-25 16:51:26 +08:00
谷歌现在逐渐掌控了浏览器的话语权,可以跟卖证书的正面刚了
xuan880
2017-03-25 20:02:58 +08:00
我记得上次看到谷歌匿名收购根证书公司的新闻,有人知道有啥后续吗?
binux
2017-03-25 20:05:57 +08:00
谷歌不是 CA ,胜似 CA 他爸
chromee
2017-03-25 20:11:07 +08:00
@xuan880 是沃通秘密收购 startcom 被 Mozilla 和 Google 吊销 一年后才能重新申请恢复
chromee
2017-03-25 20:11:34 +08:00
@binux 现在是 CA 了
alect
2017-03-25 20:16:57 +08:00
谷歌自己的 CA 很快也就出来了,到时候估计只能用谷歌家的了……
xuan880
2017-03-25 20:27:21 +08:00
@chromee 不是,是另一个新闻,大致内容应该是谷歌创建自己的根证书,然后似乎和沃通一样没有进行什么通告之类的,最后说什么 Mozilla 在对这个问题进行讨论。
xuan880
2017-03-25 20:28:30 +08:00
Quaintjade
2017-03-25 23:37:13 +08:00
这惩罚实质上比对 WoSign 的惩罚更重吧。
- EV 证书是 CA 最主要的利润来源,撤掉所有赛门铁克证书的 EV 标识(包括已签发证书),至少一年内不给恢复,这是直接断了财路啊。
- 同时缩减新发证书最长有效期为 9 个月,连一年都不到,这还能当商业证书卖吗?

WoSign 根证书被干掉之后,马上买了 Certum 的交叉签名,自己变成二级 CA 照样发证书。
上述惩罚如果是针对赛门铁克品牌的话, WoSign 那招可能不行,估计只能通过收购其他 CA 赚钱了。
YvesX
2017-03-25 23:53:16 +08:00
这很“不作恶”
Quaintjade
2017-03-26 00:06:28 +08:00
赛门铁克的回应:
https://www.symantec.com/connect/blogs/symantec-backs-its-ca

"... Google ’ s statements about our issuance practices and the scope of our past mis-issuances are exaggerated and misleading. ..."

"... In the event Google is referring to, 127 certificates – not 30,000 – were identified as mis-issued, and they resulted in no consumer harm. ..."

"... While all major CAs have experienced SSL/TLS certificate mis-issuance events, Google has singled out the Symantec Certificate Authority in its proposal even though the mis-issuance event identified in Google ’ s blog post involved several CAs. ..." ←这是要把所有主流 CA 拖下水的节奏啊 233
ldbC5uTBj11yaeh5
2017-03-26 00:13:05 +08:00
谷歌的报复。之前赛门铁克仗着自己 too big to fail 对谷歌的挑战爱理不理,还暗示自己是规则制定者。

现在被谷歌报复了。
kn007
2017-03-26 00:23:31 +08:00
即便如此, Symantec 还是比较受认可的。
wql
2017-03-26 01:02:50 +08:00
@jigloo 论报复, Google 的一部分代码签名证书还是 symatec 发的呢……
wdlth
2017-03-26 01:04:50 +08:00
看看 Symantec 要做出了一个艰难的决定,吊销 GeoTrust 颁发的 Google Internet Authority G2 证书……

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/350221

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX