針對谷歌對Symantec證書提出取消信任的計劃，以及谷歌可能采取的代價巨大、破壞性很強的措施，Symantec提出異議，聲稱這項建議將和有關方面受到的影響相抵消。

　　今年1月，安全研究人員Andrew Ayer發現了大約100個頒發不當的證書，這些證書可以追溯到Symantec證書頒發機構。3月，谷歌Chrome宣布，一項針對Symantec證書頒發機構業務情況調查揭示了“一系列故障”，并提出一項計劃，內容包括將任何新的Symantec證書有效期縮短至9個月、重新驗證并替換所有Symantec頒發的證書以及移除至少1年的Symantec頒發證書的擴展驗證狀態。

　　然而，Symantec發起了反擊，指責谷歌對他們的這種特殊對待，還暗示這家搜索引擎巨頭試圖給Symantec的證書制造“不可靠、有疑問”的印象。但當Mozilla加入這場爭論并強調了對Symantec證書頒發機構的擔憂時，Symantec的壓力更大了。這家反病毒軟件公司終于給出了解決谷歌和Mozilla提出的問題的方案。

　　Symantec的建議回應了谷歌對其CA業務的擔憂，稱：“這項建議不會給我們的客戶和Chrome用戶造成任何損害，如果谷歌將這項建議付諸實施的話，我們相信它會起作用?！盨ymantec網站安全部門的執行副主席兼總經理Roxane Divol在一份給SearchSecurity的聲明中說道。

　　“據我們所知，我們過去錯誤頒發的證書并未對客戶造成損害，盡管如此，我們仍然認為遵守行業標準是我們證書頒發機構的重要責任，”Symantec在博文中這樣宣稱，并對他們的計劃做了詳細的闡述?！拔覀兿嘈胚@項涉及多方面的建議能夠應對關于Symantec過去和未來的SSL/TLS證書頒發問題?！?/p>

　　Symantec證書頒發機構建議增加業務透明度。具體的措施是實施更頻繁、范圍更大的審計、按季度公布工作進展；及為解決與CA/瀏覽器論壇基本要求相沖突的客戶請求與該論壇進行協同工作，來制定和更新操作指南。

　　Symantec還提供更短有效期的選擇：為有效期超過9個月的證書提供重新域驗證；“進一步增加在CA操作‘安全和風險’功能方面的投資，關注我們的安全和合規控制以及風險評估”；更新根程序以反映不同類型證書的恰當用法；用Symantec全球智能網絡“基于分級目錄來識別具有較大威脅的加密網站，并采取適當措施降低我們為這些網站頒發的證書風險”。

　　Symantec在博客中指出，它向客戶搜集了反饋信息，這些客戶包括“世界上很多大型金融服務、重要基礎設施、零售、醫療衛生機構及很多政府部門”。

　　2015年，谷歌發現Symantec為包括谷歌的域在內的一些它并無支配權的域頒發測試證書。此后，Symantec證書頒發機構的業務受到詳細調查。因此，谷歌要求將Symantec證書納入證書透明日志，同時要求對Symantec證書頒發機構開展額外的第三方審計。

　　Symantec可以選擇拒絕嗎？

　　”我對Symantec提出的補救計劃非常失望?！凹s翰·霍普金斯大學化學副教授Tyrel M. McQueen說。

　　Sleevi寫道：“Chrome團隊與Symantec領導層會面，討論并解釋了有關問題，盡管過去幾個月雙方一直在就這些問題保持溝通。由于Symantec的問題太多，我們無法對這么多問題提出看法，因此我們計劃再舉行一次會晤?！?/p>

　　Sleevi在博客中分享了前兩周Symantec和谷歌進行討論的有關信息——其中包括一個“脫身”選項，Symantec需要將其證書頒發業務移交給一家或多家已有的證書頒發機構，才能繼續留在這一行業。

　　鑒于其過去的行為方式，一些瀏覽器社區的成員對Symantec證書頒發機構可能會遭到的嚴重后果表示擔憂。

　　“我對Symantec提出的補救計劃非常失望。不管是不是有意的，這個回應看起來表示他們并未真正理解他們過去行為可能造成的嚴重后果，”約翰·霍普金斯大學化學副教授Tyrel M. McQueen以私人名義對Symantec在Mozilla開發者安全政策論壇提出的建議作出以上評論。

　　McQueen注意到Symantec的建議“無疑是在向Symantec和其客戶呼吁”，“而沒有去面對過去的行為所帶來的風險，這些行為包括允許多個第三方在無有效監督的情況下對公開可信的根證書全權頒發證書鏈?！?/p>

　　McQueen認為，包括Symantec在內，沒有人“對其過去的根證書下的行為（如十字標識、不受限制產生的證書頒發機構等）有一個全面的認識。這遠比那些導致Mozilla程序下完全不信任的問題更加嚴重?！?/p>

　　去年被Mozilla從可信證書頒發機構名單中去除的中國證書頒發機構WoSign前CEO Richard Wang加入了這次關于政策清單的對話，他支持Symantec的建議。他寫道，“對證書頒發機構和它的客戶來說，替換那些超出你想象的證書是災難性的，”他還補充說，WoSign仍在努力解決這次6個月后將要發生的證書混亂問題。

　　“由于Symantec客戶的數量超過WoSign，而這些公司大多數也比WoSign的客戶更大，我確信協同性和兼容性方面的問題會給Symantec、Symantec的客戶和瀏覽器用戶帶來很大的麻煩，”Wang寫道，同時補充說“我認為Symantec的建議很好，也會使其客戶收益，并不會給世界帶來困擾?！?/p> 1024你懂的国产日韩欧美_亚洲欧美色一区二区三区_久久五月丁香合缴情网_99爱之精品网站

責任編輯：韓希宇