这是一个创建于 3140 天前的主题,其中的信息可能已经有所发展或是发生改变。
Google 安全博客报告,赛门铁克旗下的 Thawte CA 为 google.com 和 www.google.com 域名颁发了一个扩展验证前证书( Extended Validation pre-certificate )。 Google 是从 Chrome 自动转发的证书透明度日志中发现这一情况。它和赛门铁克讨论了这个问题,对方证实证书是在内部测试流程中颁发的,有效期只有一天,没有泄露出去,没有影响到用户。
之前的 CNNIC 新闻
MCS 在周三对此谴责作出了回应。 MCS 声称它是埃及及中东地区的一家大型安全产品分销商,与许多国际知名安全公司有过合作,它是在 3 月 11 日与 CNNIC 签署了正式的演示协议去测试计划引入中东地区的云端安全服务, 3 月 19 日它从 CNNIC 获得了有效期为两周的中级证书,同一天开始在实验室的保护环境中进行测试。证书安装在防火墙上,防火墙有一个充当 SSL 转发代理的主动策略,自动为浏览的域名生成证书。在周五和周六一位 IT 工程师使用 Google Chrome 浏览网站结果防火墙自动生成了 Google 域名的证书,而浏览器将假的证书信息报告给了 Google 。 MCS 称,它在收到 CNNIC 的事故通知后立即从防火墙删除了证书,表示这是一次人为的失误。
CNNIC 声明 : CNNIC 服务器证书业务合作方 MCS 公司确认其不当签发的测试证书仅用于其实验室内部测试。
最后 Google 宣布旗下产品删除 CNNIC 根证书
新闻要对比着看。
 |
1
oott123 2015-09-21 00:38:52 +08:00 via Android
pre-certificate 是啥,伸手求一下科普
|
 |
2
xenme 2015-09-21 06:22:58 +08:00 via iPhone
大家赶紧把 Symantec 的跟证书删了。
|
 |
3
jasontse 2015-09-21 07:46:54 +08:00 via Android
一个是 Root CA 内部自己玩,一个是往外卖而且还是防火墙厂商用。有什么好比较的。
|
 |
4
fengxiang 2015-09-21 07:48:44 +08:00 via Android
放心吧,谷歌回来了就不用证书了,人家直接去机房查服务器了。
|
 |
5
pmpio 2015-09-21 08:55:48 +08:00 via Android
不知有没伪造微软的证书? windows update 还安全么?我这从官网 ftp 下载的 Firefox 和 Opera 都是 Symantec 发行的证书签署的。。。。
|
 |
7
cnbeining 2015-09-21 09:46:22 +08:00  1
|
 |
8
xuan880 2015-09-21 12:09:54 +08:00 via Android
内部测试,呵呵谁知道到底是什么内部测试。
|
 |
9
squid157 2015-09-21 17:38:08 +08:00 via iPhone
所以就是 PKI 体系里面,是信任链,你相信 Root CA 以及他信任的中级 CA 。这事情,中间环节有一个混蛋都不行。
CNNIC 在于,有些人就不信任那个 Root CA 。当然可以不信任任何一个政府部门的 Root CA ,因为很多国家的政府都喜欢自己搞一个 CA ,也有人选择不信任来自一个地区的所有 Root CA ,例如 RevokeChinaCerts ,大中华区的 CA 无一幸免。 当然你如果跟自己过不去也可以谁都不信任 |
Select Language