注意!全球互聯網將受谷歌Chrome證書替換影響
如果未來2個月內還不更換HTTPS證書,被標記為不安全網站就在所難免了。
去年9月,谷歌宣布不再信任賽門鐵克頒發的SSL/TLS證書。今年4月中旬開始,使用賽門鐵克於2016年6月1日之前或2017年12月1日之後頒發證書的網站,會被谷歌Chrome瀏覽器彈出安全警告,用戶必須點擊忽略該警告才可以訪問這些網站。
即便所用證書是中間商所頒發,但只要其信任根是賽門鐵克的,依然會遭遇彈出警告。比如說,依賴賽門鐵克作為信任根的Thawte、GeoTrust和RapidSSL,就會受到谷歌此決定的重創。如果不確定,可以查看自己證書的根證書頒發機構以確定是否是賽門鐵克所頒發。
將於2017年4月17日發布的Chrome Build 66就將應用該警告策略,而將在10月23日發布的Build 70則會更進一步,直接不信任所有賽門鐵克頒發的證書。
當然,不是所有人都用Chrome,也不是所有Chrome用戶都會及時升級到最新版,但這依然會讓還未獲得其他機構所頒HTTPS證書的網站頭疼。
問題是:有多頭疼?該版Chrome的早期試用人員警告:他們在上網過程中不停遭遇使用非受信證書的網站,頻繁看到該危險警告信息。幸運的是,一名安全工程師寫了個腳本來測試該問題到底有多嚴重。
這名安全工程師在房屋租賃網站Airbnb工作,他爬取了Alexa上列出的前100萬家大型網站的證書信息,測試這些網站會不會因谷歌的賽門鐵克證書封殺策略而崩潰。
該腳本運行了11個小時,產生了一些非常有意思的結果:100萬家大型網站中,僅11510家在4月還能正常運行,91627家到了10月就面臨訪問受阻的窘境了。
商業紛爭
該測試腳本的運行結果已上傳到網上,系統管理員或網站管理員可以查詢一下,確保自家網站不在4月之後就頭疼的行列。當然,更聰明的做法是將所有賽門鐵克證書都換掉。
谷歌僅憑拒絕接受賽門鐵克證書就將一家公司的整個證書頒發業務踢出市場,如此巨大的能量卻沒有引發什麼太大的震蕩,人們對此並不擔心。
畢竟,如果不是賽門鐵克老是錯誤頒發SSL/TLS證書,其產品的可信度早已流失,而且還直接損害到了google.com,谷歌也不會做出如此毫不留情的決定。
一家靠用戶信任度維生的公司,就應該預想到發生信任危機的可怕後果。賽門鐵克當然非常不高興,在博客中使用了大量怒氣值滿滿的語言評價此事,比如「不負責任的」、「誇大其詞的」、「誤導性的」等等。
該公司宣稱,只有127個證書是錯誤頒發的,而不是之前所說的3萬個。但事實擺在眼前,就在博客披露幾個月後,隨著谷歌的拒不讓步,賽門鐵克將其證書業務賣給了DigiCert。
不想在4月17日早晨被網站無法訪問的投訴淹沒的話,最好馬上著手證書更換事宜。
腳本運行結果:
https://raw.githubusercontent.com/arkadiyt/symantec-certificate-checker/master/bad_m66.txt
※訪問控制的定義及五大實現挑戰
※一鍵黑客工具:一個腳本搞定所有攻擊操作
TAG:安全牛 |