上周五,谷歌和赛门铁克促成了一项提议,将允许赛门铁克在一定条件下继续颁发SSL证书。这是继今年年初被发现违规误发证书和被谷歌提出取消信任之后,赛门铁克与谷歌的第一次正式协商方案。
谷歌和赛门铁克都指出,提议中的一些具体细节可能会改变,但是他们趋近于“一个解决安全风险和减轻中断的良好平衡的提案”。
之前的谷歌提案涉及到对赛门铁克证书的一系列复杂的限制,以及对现有证书的分级不信任。这将使赛门铁克及其客户陷入棘手的境地,因为赛门铁克将不得像与其他CA一样提供相应的服务。
根据新提案,赛门铁克将与其他CA合作,继续发行证书,同时重新启动自己的业务。执行此计划所需的大部分工作将由赛门铁克本身进行。用户将看到相对较少的更改,并且可以获得对他们没有任何限制的新证书。
对于浏览器,将新旧的赛门铁克证书与新的根证书分开是非常重要的。这使他们有能力通过技术措施来控制哪些证书是可信的,而不是那些听上去更靠谱的政策。
这个提议的亮点在于:
与以前的计划一样,这些操作适用于所有赛门铁克运营的CA,其中包括GeoTrust,Thawte和RapidSSL。
从8月8日起,赛门铁克证书将需要由“托管CA”发出 - 赛门铁克与其合作的另一个认证机构。 目前还不知道谁将与赛门铁克合作。
这些证书将由现有赛门铁克根证书交叉签署,可以让信任赛门铁克的现有根源的各种传统设备的新证书受到信赖。
此管理CA颁发的证书不会面临任何独特的限制。这意味着赛门铁克证书将能够按照行业标准规则颁发。他们的EV证书将继续使用绿色地址栏UI显示。
2016年6月1日之前发布的现有证书(当赛门铁克证书需要遵守Chrome的证书透明度政策时)需要更换。 Chrome将在8月份的两个阶段(Chrome 62的发行版)中不信任这些证书。
2016年6月1日以后发行的现有证书不受影响。这些证书的所有者不需要重新验证/重新发行,或看到有效期的任何减少。 EV证书将继续拥有EV UI。
尽管如此,赛门铁克还将向谷歌和社区提供审计和报告,以显示其修复导致其违规的错误的进度。他们还将努力向根程序提交新的根证书,以便在技术上可行的方式再次开始验证和颁发证书。
赛门铁克的合作伙伴CA将继续处理发行和验证,直到赛门铁克的新根证书被接受到信托商店。对于任何一家公司来说,这都不算什么,包括经验丰富的CA。虽然一些根源程序(如Mozilla)是透明和有据可查的,但其他(比方说苹果)就像城市传说一样,可以花更长的时间来处理。
赛门铁克可能需要两年或更长时间才能将所有内容重新置于内部。但与此同时,他们的客户将继续能够购买和使用证书,而且没有复杂或不方便的限制。
再次注意,这还不是一个最终的计划。虽然这个过程看起来很艰巨,但考虑到赛门铁克业务的规模是有道理的。赛门铁克星期五表示,“仔细审查这项建议,并将尽快回应社区的意见反馈。”我们预计将尽快进行最后的调整,届时我们将发布有关即将发生的变更和行动的更多细节赛门铁克证书用户需要做好准备。
Mozilla与谷歌类似:它提出了一个仍然需要进行微调的计划。 它与谷歌非常相似,其中一个主要区别是赛门铁克证书将限于400天的有效期。 Mozilla也在辩论这样的想法,即在新的PKI启动时,赛门铁克需要外包CA的职责。 Mozilla意识到赛门铁克将不得不遵循所有根目录中最严格的规则,因此Mozilla正试图将其计划与谷歌的相提并论。
同行业的规范一样,微软和苹果都表示很少,也没有公开声明他们将要做什么。 历史上,他们的根程序更宽松,因此在确定对用户的影响时不太重要。
网友评论