最近，一場針對互聯(lián)網(wǎng)行業(yè)權(quán)威、信任和制裁的戰(zhàn)爭拉開了帷幕。谷歌和賽門鐵克決裂，巨人反對巨人。谷歌Chrome表示：由于賽門鐵克Ca（證書頒發(fā)機(jī)構(gòu)）已經(jīng)頒發(fā)了30000多份有問題的證書，我們將逐步降低對賽門鐵克證書的信任。簡言之：街區(qū)！賽門鐵克CA為該網(wǎng)站頒發(fā)了一份證書，但谷歌表示，他的證書存在問題，不可信，這已經(jīng)是Da的問題。例如，一位著名的教授經(jīng)常給學(xué)生寫推薦信，推薦他們到一家知名公司工作。這時，一家知名大公司突然跳出來說：“教授推薦的人不好，三觀能力不好，全是胡說八道！”然后他列舉了許多隨機(jī)推薦的例子，這大大降低了教授的可信度，其他公司也不敢讓他推薦學(xué)生。谷歌是跳槽的公司，賽門鐵克是撰寫推薦信的教授。瀏覽器和Ca之間的愛是相互殘殺的。為了理解谷歌和賽門鐵克之間相互撕扯背后的利益，我們必須學(xué)習(xí)CA證書的原理。當(dāng)我們通常使用瀏覽器時，我們經(jīng)常會看到一個小的綠色鎖，表示您進(jìn)入的是真實的網(wǎng)站，而不是偽造的網(wǎng)站，所有通信都將根據(jù)證書進(jìn)行加密。CA權(quán)威機(jī)構(gòu)向網(wǎng)站頒發(fā)證書（簡稱CA），瀏覽器將通過一些加密和哈希算法驗證證書是否有效，最后告知用戶。雷鋒認(rèn)為，證書一般分為三類：DV、OV和ev。加密效果相同，但區(qū)別在于：DV（domainvalidation），對于個人用戶來說，安全系統(tǒng)相對較弱。認(rèn)證方式是向whois信息中的郵箱發(fā)送郵件，并根據(jù)郵件內(nèi)容通過認(rèn)證；OV（組織驗證）面向企業(yè)用戶。在DV證書驗證的基礎(chǔ)上，證書還需要公司的授權(quán)。CA通過撥打信息庫中公司的電話進(jìn)行確認(rèn)；Ev（擴(kuò)展驗證），URL列顯示注冊公司的信息。除上述兩項確認(rèn)外，申請此類證書還要求公司提供金融機(jī)構(gòu)的開戶許可證，這是非常嚴(yán)格的。OV和ev證書相當(dāng)昂貴。所以問題來了。。。，CA組織擁有“生死攸關(guān)”的權(quán)力“如何頒發(fā)證書是他唯一擁有最終決定權(quán)的事情。瀏覽器只是一個驗證角色。如果CA隨機(jī)頒發(fā)證書怎么辦？或者，如果CA組織遭到黑客攻擊，導(dǎo)致證書泄漏，是什么導(dǎo)致了問題？對于大多數(shù)普通用戶來說，一旦網(wǎng)站出現(xiàn)問題，他們會認(rèn)為瀏覽器告訴了他們我覺得網(wǎng)站是可信的，但我是黑人，瀏覽器騙了我，瀏覽器有問題！CA快樂地出售證書來賺錢。如果出現(xiàn)問題，瀏覽器制造商必須承擔(dān)責(zé)任。因此，擁有最大市場份額的chrome開始“找茬”。這不是谷歌第一次與數(shù)字證書領(lǐng)域的老大賽門鐵克（Symantec）展開競爭。如果你有問題，我會挑毛病的。2011年3月，擁有最高證書市場份額的Comodo公司遭到黑客攻擊，包括mail google在內(nèi)的7個web域中的9個數(shù)字證書被盜。com、插件。mozilla。Org并登錄雅虎。當(dāng)時，有人把這起事件稱為“CA版的9/11襲擊”。“同年，荷蘭CA組織diginotar也遭到黑客入侵，并發(fā)布了大量偽造證書。由于這些偽造證書，數(shù)百萬用戶受到了中介機(jī)構(gòu)的攻擊。這些事件敲響了警鐘，結(jié)束了對CA的盲目信任時代，并預(yù)示了繼谷歌之后的一系列行動。prism gat“2013年的e事件”爆發(fā)后，斯諾登在泄露的文件中披露，美國國家安全局使用一些CA頒發(fā)的偽造SSL證書攔截并破解了大量HTTPS加密的網(wǎng)絡(luò)會話。谷歌不能再坐以待斃，推出了證書透明政策（CT）該政策的目標(biāo)是為任何域名所有者或CA提供一個開放的審計和監(jiān)控系統(tǒng)，以確定證書是否被錯誤頒發(fā)或惡意使用，從而提高HTTPS網(wǎng)站的安全性。該計劃具體做到了這一點：CA需要披露CA頒發(fā)的每個數(shù)字證書的數(shù)據(jù)，并將其記錄在證書日志中。該項目不會取代傳統(tǒng)的CA認(rèn)證程序，但谷歌在監(jiān)督CA方面發(fā)揮著作用。用戶可以隨時查詢以確保他們的證書是唯一的，并且沒有其他人在使用您的證書或偽造您的證書。證書透明度將使人們能夠快速地識別不正確或惡意發(fā)布的數(shù)字證書，從而減輕可能的安全問題，例如中間人攻擊。在接下來的幾年中，證書透明系統(tǒng)和監(jiān)控服務(wù)確實幫助許多網(wǎng)站檢測偽造的證書，例如幫助Facebook團(tuán)隊找到許多偽造證書的子域網(wǎng)站。從那時起，瀏覽器制造商和Ca機(jī)構(gòu)之間的良好關(guān)系帶來了更多的東西。2015年9月和10月，針對賽門鐵克，谷歌表示發(fā)現(xiàn)賽門鐵克的Thawte未經(jīng)同意為許多域名頒發(fā)了數(shù)千份證書，包括谷歌的域名和不存在的域名。賽門鐵克當(dāng)時的解釋是：“這些證書只是測試證書，僅在一天的測試中就被吊銷，不會泄露或影響用戶?！辟愰T鐵克隨后解雇了相關(guān)員工。然而，這一系列行動并沒有改變谷歌對此事的決定。2015年12月，谷歌宣布chrome、Android和其他谷歌產(chǎn)品將不再信任賽門鐵克的“class3 public primaryca”根證書。中國watcom受到瀏覽器的“圍攻”“2016年1月1日，主要瀏覽器制造商開始停止接受使用舊SHA-1算法簽署的一些證書，因為SHA-1算法已被證明存在漏洞，偽造證書的成本相對較低。為了避免SHA-1停用策略，watcom將證書的頒發(fā)時間補回至2015年12月。但是，Mozilla基金會很快發(fā)現(xiàn)了它，然后Mozilla基金會（Firefox瀏覽器）決定了WATCOM及其STARSSL頒發(fā)的證書；Apple從證書存儲庫中刪除Watson的根證書；從chrome 56開始，在2016年10月21日之后，它不再信任watcom及其收購的startcom頒發(fā)的證書，直到它最終完全解除對這兩個CA的信任！瀏覽器制造商在促進(jìn)證書升級和機(jī)制優(yōu)化方面更加積極主動。谷歌對Ca機(jī)構(gòu)的公開敦促就是最好的證明。2016年10月，谷歌通過公共電子郵件集團(tuán)宣布，2017年10月之后發(fā)布的所有公共受信任網(wǎng)站SSL證書將符合chrome的證書透明度政策，以獲得chrome的信任。平衡即將打破？谷歌似乎也發(fā)現(xiàn)，它已經(jīng)激怒了越來越多的Ca機(jī)構(gòu)，但他們只是不這么做，而是自己做。2017年1月26日，谷歌宣布將建立自己的rootca（根認(rèn)證機(jī)構(gòu)），以更快地處理谷歌產(chǎn)品的SSL/TLS證書要求。當(dāng)時，這種方法吸引了許多網(wǎng)民的疑問：“谷歌同時使用瀏覽器和Ca真的好嗎？”谷歌擁有全球覆蓋率最高的瀏覽器chrome，并在cabforum國際標(biāo)準(zhǔn)組織中發(fā)揮著重要作用。它有權(quán)控制全球CA機(jī)構(gòu)的生死存亡，有權(quán)不信任任何CA根證書，現(xiàn)在建立自己的CA機(jī)構(gòu)。這可能會顯著改變?nèi)驗g覽器和Ca市場的格局?；氐焦雀韬唾愰T鐵克之間的戰(zhàn)斗事件：谷歌表示，它發(fā)現(xiàn)賽門鐵克在2015年錯誤頒發(fā)了30000多份證書。賽門鐵克回應(yīng)說，誤發(fā)信息的數(shù)量只有127條，而谷歌則夸大了這一點。在雷鋒網(wǎng)（官方賬號：雷鋒網(wǎng)）的編輯中，具體數(shù)字對整體情況并不重要

« 德國人機(jī)大戰(zhàn)最后一天：人類不能贏得機(jī)器的意義是什么 | 線上線下聯(lián)合作戰(zhàn)旗幟創(chuàng)新布局游戲直播 »