Google上周發現,賽門鐵克(Symantec)旗下的Thawte憑證機構發行了一個非由Google所申請的google.com延伸認證(Extended Validation,EV)憑證。賽門鐵克則表示,這是因為內部測試所誤發的憑證,並已開除相關員工。
憑證機構(Certificate Authority,CA)屬於可信賴的第三方機構,負責發行數位憑證以確定憑證所有人的真實身份,目前全球約有數百家憑證機構,而賽門鐵克為該領域的第二把交椅,今年5月的市佔率為31.9%,僅次於Comodo的35.6%,排名第三的則是GoDaddy的14%。
Google表示,他們是透過「憑證透明化」(Certificate Transparency)專案的紀錄,發現Thawte發行了google.com的EV憑證,但Google並未申請或授權他人申請相關憑證。
在與賽門鐵克溝通後,雙方判斷此一憑證的發行是源自於賽門鐵克內部產品的測試程序,Google旋即在Chrome瀏覽器中廢除此一誤發的憑證,而賽門鐵克則是開除了誤發相關憑證的員工,讓此一偽造的Google憑證只存活了一天。
根據賽門鐵克的說法,該公司在上周進行內部的產品測試時,總計誤發了涉及3個網域的相關憑證,但所有的測試憑證都在掌控中而且在發現時便已即時撤銷,對這些網域或全球網路並未造成任何的危險。
賽門鐵克表示,雖然他們已採用業界的最佳實作準則,但在此一意外發生後,立即採取額外的程序與技術來解決可能的人為疏失,亦開除了相關員工。
偽造的憑證可用來攔截正統網站的流量,執行中間人攻擊,更何況賽門鐵克此次誤發的是更嚴謹的EV憑證。EV憑證以非常嚴格的方式來驗證SSL憑證申請人的身份,有些安全標準較高的瀏覽器會特別區隔取得EV憑證的網站,在網址列上除了可顯示傳統CA憑證的https與上鎖圖示之外,網址列還會變成綠色。
有安全專家認為,要不是有Certificate Transparency專案,可能沒人會知道Google的憑證被誤發了,而且不一定所有的CA都是正派經營,此事突顯了整體憑證生態所面臨的威脅。
由Google創立的Certificate Transparency專案即是為了解決SSL憑證系統在架構上的各種缺點,提供一個開放的監控與稽核系統讓網域擁有人與憑證機構都能隨時存取並檢查是否有誤發或被誤用的憑證。(編譯/陳曉莉)
相關報導: