賽門鐵克意外泄漏多個Google SSL證書
制定和實施加密的安全系統是很 困難的 。星期五(九月十八日)Symantec悄悄地發布了一項 公告 ,這提醒了他們它是多么艱難。根據Symantec的 Quentin Lin和Charlene Mike-Billstrom所說,3個SSL證書意外地在公司內部泄露。雖然公告試圖淡化這次泄漏的意義,但值得注意的是,多個員工已經因為這一事故被解雇。
有關這起事故的其他細節已由谷歌單獨 公布 。這篇文章解釋說,Symantec的Thawte單位發布了新的、未被要求的www.google.com和google.com證書。Google的 Chrome瀏覽器通過瀏覽器使用的證書透明日志來檢測到了這一點,這一點似乎表明,這些證書在一定的能力上可能已經被公開發布了。然而,Google的員工覺得這些證書的創造沒有不良影響,因為他們只在檢測的前一天有效。Symantec認為這些證書仍然在測試環境中。目前還不清楚第三個證書屬于哪些域名。
盡管谷歌試圖提供保證,但對Symantec的帖子的評論已經明顯負面化。受訪者“ ianbfarquhar ”指出,Symantec“這些證書的發放屬于哪些站點沒有被公開”和“[這一事件的]相關信息和發生原因應該更加透明”。
受訪者“frenchdiver”指出:
“你清楚地在內部使用/測試了客戶的敏感材料。為什么這個會得到許可,為什么會做出這樣的決策??…這篇文章似乎暗示說,“嘿,發生了一些不好的事情,但實際上,這是因為我們的一些員工做了一些壞事。所以我們解雇他們。現在一切都好了”。有領導能力的人怎么會說出這樣的話??”
Cory Doctorow 解釋 說,使得這個泄露更令人憂心的是,由于證書標記擴展驗證,理論上Symantec做了“額外功課”來證實它確實是Google的官方證書。因此,這些證書基于的高度意識受到了損害才是更多被關注的焦點。
查看英文原文: Symantec Accidentally Leaks Multiple Google SSL Certificates