本文作者謝幺，雷鋒網(wǎng)網(wǎng)絡(luò)安全作者，公眾號：宅客頻道

近日，互聯(lián)網(wǎng)界一場關(guān)乎權(quán)威、信任、制裁的大戰(zhàn)拉開序幕，谷歌和賽門鐵克開撕，巨頭懟巨頭 。（不太了解賽門鐵克（Symantec）的請自行谷歌）

Google Chrome 說：

由于賽門鐵克 CA（證書簽發(fā)機構(gòu)）簽發(fā)了3萬多個有問題的證書，所以我們將逐步減少對賽門鐵克證書的信任。

簡而言之就是：封殺！賽門鐵克CA為網(wǎng)站頒發(fā)證書，谷歌卻說他的證書有問題不可信，這已經(jīng)是個原（da）則（lian）問題了。

【一個老梗】

打個不嚴謹?shù)谋确剑?/span>一個很有聲望的教授經(jīng)常為學(xué)生寫推薦信，推薦學(xué)生去知名公司上班，這時忽然有個知名的大公司跳出來說：“這教授推薦的人不行啊，三觀不正能力不行，完全是瞎搞！”然后列舉了許多他胡亂舉薦的例子，讓教授的公信力瞬間大打折扣，其他公司也不敢要他推薦的學(xué)生了。谷歌就是這個跳出來的公司，賽門鐵克就是寫舉薦信的教授。

瀏覽器和CA的相愛相殺

要了解此次谷歌和賽門鐵克互撕事件背后的利害關(guān)系，還得從 CA證書的原理來說起。

我們平時使用瀏覽器時，經(jīng)常看到一個綠色的小鎖 ，它表明你進入的是真的，而不是偽造的網(wǎng)站，并且所有通信都會基于證書來進行加密。CA機構(gòu)給網(wǎng)站頒發(fā)證書（證書簽發(fā)機構(gòu)， 簡稱“CA”），瀏覽器則會通過一些加密、哈希算法驗證證書是否有效，最后告訴用戶。

據(jù)雷鋒網(wǎng)所知，證書一般分成三類： DV、OV 、和 EV ，加密效果都是一樣的，區(qū)別在于：

• DV（Domain Validation），面向個體用戶，安全體系相對較弱，驗證方式就是向 whois 信息中的郵箱發(fā)送郵件，按照郵件內(nèi)容進行驗證即可通過；

• OV（Organization Validation），面向企業(yè)用戶，證書在 DV 證書驗證的基礎(chǔ)上，還需要公司的授權(quán)，CA 通過撥打信息庫中公司的電話來確認；

• EV（Extended Validation），URL 地址欄展示了注冊公司的信息，這類證書的申請除了以上兩個確認外，需要公司提供金融機構(gòu)的開戶許可證，要求十分嚴格。

• OV 和 EV 證書相當昂貴。

那么問題來了，CA機構(gòu)掌握“生殺大權(quán)”，如何頒發(fā)證書全憑他說了算，瀏覽器只是一個驗證的角色。萬一 CA 胡亂頒發(fā)證書怎么辦？又或者，如果CA機構(gòu)被黑客入侵導(dǎo)致證書泄露，造成了問題怎么辦？

對于大多數(shù)普通用戶來說，一旦網(wǎng)站出現(xiàn)問題，他們只會認為：瀏覽器告訴我這個網(wǎng)站是可信的，可是我被黑了，瀏覽器騙了我，瀏覽器有問題！

 CA 開心地賣證書賺錢，出了問題瀏覽器廠商也要背鍋。于是市場份額最大的 Chrome 開始了“找茬”之路。此次谷歌和數(shù)字證書領(lǐng)域的老大哥賽門鐵克交手，也并不是第一次。

你出問題，我就找茬

2011年3月，證書市場份額前列的科摩多（Comodo） 公司遭黑客入侵，七個Web域共9個數(shù)字證書被竊，包括：mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。當時有人稱那次事件為“CA版的 911攻擊。” 

同年，荷蘭的 CA 機構(gòu) DigiNotar 同樣遭到了黑客入侵，頒發(fā)了大量的偽造證書。由于這些偽造證書，數(shù)百萬用戶遭到了中間人攻擊。

這些事件給人們敲響了警鐘，結(jié)束了人們盲目信任CA的時代，也為谷歌之后的一系列動作埋下了伏筆。

2013年“棱鏡門事件”爆發(fā)，斯諾登泄露的文件中透露：美國國家安全局就利用一些 CA 頒發(fā)的偽造SSL證書，截取和破解了大量 HTTPS 加密網(wǎng)絡(luò)會話。

谷歌再也坐不住了，同年便發(fā)起了證書透明度政策（Certificate Transparency，簡稱CT）。這一政策的目標是提供一個開放的審計和監(jiān)控系統(tǒng)，讓任何域名所有者或者 CA 確定證書是否被錯誤簽發(fā)，或者被惡意使用，從而提高 HTTPS 網(wǎng)站的安全性。 

這個計劃具體是這么來做的：

要求CA公開其頒發(fā)的每一個數(shù)字證書的數(shù)據(jù)，并將其記錄到證書日志中。

這個項目并沒有替代傳統(tǒng)的CA 的驗證程序，但是谷歌起到了一個監(jiān)督CA的作用，用戶可以隨時查詢來確保自己的證書是獨一無二的，沒別人在使用你的證書，或者偽造你的證書。

證書透明度將讓人們可以快速地識別出被錯誤或者惡意頒發(fā)的數(shù)字證書，以此來緩解可能會出現(xiàn)的安全問題，例如中間人攻擊。

之后的幾年里，證書透明度系統(tǒng)和監(jiān)控服務(wù)也確實幫助了不少網(wǎng)站檢測出了偽造證書，比如幫助 facebook團隊發(fā)現(xiàn)了不少偽造其證書的子域名網(wǎng)站。

從那時開始，瀏覽器廠商和 CA 機構(gòu)之間的其妙關(guān)系就開始導(dǎo)致了更多事情。

不再信任中國CNNIC數(shù)字證書

2015年4月，谷歌和火狐瀏覽器都宣布不再信任中國CNNIC數(shù)字證書，原因是埃及MCS Holding公司使用CNNIC簽發(fā)的中級證書為多個Google域名簽發(fā)了假的證書。雖然后來調(diào)查發(fā)現(xiàn)這事是中國CNNIC授權(quán)的證書發(fā)布代理商干的，但并沒有改變他們的決定。

和賽門鐵克交手

2015年9月和10月，Google 稱發(fā)現(xiàn)賽門鐵克旗下的 Thawte 未經(jīng)同意簽發(fā)了眾多域名的數(shù)千個證書，其中包括Google旗下的域名和不存在的域名。 

賽門鐵克當時的解釋是：“那批證書只是一個測試證書，僅測試一天就吊銷了，沒有泄露出去也沒有影響到用戶” 。賽門鐵克隨后還是炒掉了相關(guān)的雇員。 然而這一系列動作并沒有改變谷歌的對此事的決策。

2015年12月，Google發(fā)布公告稱Chrome、Android及其他Google產(chǎn)品將不再信任賽門鐵克(Symantec)旗下的"Class 3 Public Primary CA"根證書。

中國沃通遭眾瀏覽器“群毆”

2016年1月1日，各大瀏覽器廠商開始停止接受一些用陳舊的SHA-1 算法進行簽名的證書，因為SHA-1算法已經(jīng)被證實可破解，偽造證書的成本比較低。

為了規(guī)避 SHA-1停用策略，沃通將證書的簽發(fā)時間倒填成2015年12月份。但是很快就被Mozilla 基金會發(fā)現(xiàn)，然后：

• Mozilla基金會 （火狐瀏覽器）決定沃通和其旗下StarSSL簽發(fā)的證書；

• 蘋果將沃通的根證書從證書存儲庫中移除；

• Chrome 56 開始，不再信任沃通及被其收購的 StartCom 于 2016 年 10 月 21 日之后所頒發(fā)的證書，直到最終完全移除對這兩個 CA 的信任！

在推動證書的升級、機制的優(yōu)化方面，瀏覽器廠商顯得更加積極主動。谷歌對CA機構(gòu)的公開催促就是最好的證明。2016年10月，谷歌通過公開郵件組發(fā)布公告:

2017年10月后簽發(fā)的所有公開信任的網(wǎng)站SSL證書將遵守Chrome的證書透明度政策，以獲得Chrome的信任。

平衡將要打破？

谷歌似乎也發(fā)現(xiàn)自己招惹的CA機構(gòu)越來越多了，但是他們干脆一不做二不休，自己來做CA。2017年1月26日，谷歌宣布，為了能夠更快速地處理Google 產(chǎn)品的SSL/TLS 的證書需求，谷歌將建立自己的ROOT CA（根證書頒發(fā)機構(gòu)）。

當時，這一做法便引來了許多網(wǎng)友的質(zhì)疑：“Google 又做瀏覽器又做CA，這樣真的好嗎？”

谷歌手握全球覆蓋率最高的瀏覽器 Chrome，并在 CAB forum 國際標準組織中扮演重要角色，掌握著全球CA機構(gòu)的生殺大權(quán)，擁有不信任任意一家CA根證書的權(quán)利，如今又建立自己的CA機構(gòu)。這可能會使全球瀏覽器和CA市場的格局發(fā)生顯著變化。 

回到此次谷歌和賽門鐵克對撕事件：谷歌稱發(fā)現(xiàn)賽門鐵克2015年曾誤發(fā)了超過3萬個證書。賽門鐵克則回應(yīng)那次誤發(fā)的數(shù)量只有 127 個，谷歌在夸大其詞。

在雷鋒網(wǎng)編輯看來，具體的數(shù)字對于整體的局勢來說其實并不重要，因為不會改變雙方對于證書信任問題的對立關(guān)系。

賽門鐵克此次表示，所有大型的 CA 都發(fā)生過 SSL / TLS 證書誤發(fā)的事件，但 Google 卻不知為何專門把賽門鐵克挑出來。Mozilla基金會（火狐瀏覽器） 最近也在考慮對賽門鐵克進行制裁，并可能和 Google 的行動保持一致。

顯然，在CA這件事上，谷歌背后有 Mozilla、Opera 等眾多瀏覽器供應(yīng)商，賽門鐵克的背后也是眾多CA機構(gòu)。只要信任、安全的問題依然存在，這一系列的爭端、對立未來也必將將延續(xù)下去。但無論如何，加密算法更迭、機制更加透明……這些事情確確實實在發(fā)生，我們普通用戶總是受益的一方。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。