Google如何'与证书颁发机构的关系可能会影响您

证书颁发机构呼吁Google给网站更多时间进行安全更改,然后再通过Chrome浏览器发布警告

锁
Thinkstock

受到质疑的证书颁发机构正在呼吁Google给网站更多时间来升级浏览器到服务器通信中使用的安全性,然后再在Chrome中显示警告。

对于Google大约六个月的时间表,CA会对从本月开始发布的通知(访问未从SHA-1升级到SHA-2的网站的Chrome用户)发出的通知感到不安。

SHA代表“安全哈希算法”,用于对在浏览器和Web服务器之间的安全连接上移动的数据进行加扰。存在这种连接时,浏览器通常在URL中显示HTTPS。

大多数网站将基于SHA-1的签名用作其证书链的一部分。哈希算法具有众所周知的安全弱点,而SHA-2则消除了该弱点。

但是,从SHA-1切换到较新版本涉及更新CA颁发的所有公共密钥证书(PKC)。 CA发行人GoDaddy的安全产品总经理Wayne Thayer表示,由于许多组织拥有数十个甚至数百个证书,因此这种升级需要时间来更改受影响的系统,然后测试它们是否可能存在问题。

也是CA安全理事会指导委员会成员的Thayer表示:“ Google并不真正了解这对大型企业和小型夫妻都是多么痛苦。”

Google拒绝置评。但是,在 9月5日的博文,该公司表示,它希望在成功的攻击之前,迫使网站进行更改,黑客会拦截这些敏感数据,例如信用卡号或个人信息。

该公司表示:“我们需要确保在公开展示针对SHA-1的攻击时,Web已经远离它。”

尽管Google认为自己的做法是正确的,但CA并不同意这种威胁需要如此激进的时间表。取而代之的是,他们更喜欢Microsoft的方法,直到在Internet Explorer中逐步淘汰对SHA-1的支持,直到2017年1月1日。

赛门铁克产品管理高级主管罗布·霍布利特(Rob Hoblit)表示:“如果有明确的证据表明SHA-1可以作为一种散列算法而被击败,那么我们将第一个说,'嘿,您需要立即替换它们。' 。 “不必急于升级仍然可以使用的产品,而这对于许多客户来说将是破坏性的。”

CA表示,除了提供很少的时间外,CA不应在圣诞节购物季节期间开始在URL中放置通知,尤其是因为电子商务网站没有时间在一年中最繁忙的时间进行如此大的升级。

霍布利特说:“我们的许多客户,特别是那些从事电子商务的客户,在假期购物季节的11月和12月进入基础设施完全锁定模式。”

Google的SHA-1计划从9月26日开始发布Chrome 39版。使用证书的网站在2016年12月31日之后过期,并且使用SHA-1的网站将被视为“安全,但有小错误”。

这意味着Google将开始在HTTPS旁边的锁定图像上方显示一个黄色三角形。

随着11月7日Chrome 40的发布,使用SHA-1证书(在2016年6月1日至2016年12月31日期间到期)的网站将被视为“中立的,缺乏安全性”。

这样的站点仍将在其URL中获得HTTPS,但旁边将不再有锁。

从将于2015年第一季度发布的Chrome 41开始,使用SHA-1证书(于2016年12月31日之后过期)的网站将被视为“肯定不安全”,并且在锁定图片上显示红色X,并在红色通过HTTPS删除线。

此外,根据Thayer的说法,访问此类站点的人将被警告潜在的安全问题,并且必须单击警告才能访问该站点。

这个故事“ Google与认证中心的关系如何影响您”最初是由 公民社会组织.

加入以下网络世界社区 脸书领英 对最重要的话题发表评论。
有关:

版权© 2014 IDG通讯,Inc.