本文作者謝幺，雷鋒網(wǎng)網(wǎng)絡(luò)安全作者，公眾號(hào)：宅客頻道

近日，互聯(lián)網(wǎng)界一場(chǎng)關(guān)乎權(quán)威、信任、制裁的大戰(zhàn)拉開(kāi)序幕，谷歌和賽門(mén)鐵克開(kāi)撕，巨頭懟巨頭 。（不太了解賽門(mén)鐵克（Symantec）的請(qǐng)自行谷歌）

Google Chrome 說(shuō)：

由于賽門(mén)鐵克 CA（證書(shū)簽發(fā)機(jī)構(gòu)）簽發(fā)了3萬(wàn)多個(gè)有問(wèn)題的證書(shū)，所以我們將逐步減少對(duì)賽門(mén)鐵克證書(shū)的信任。

簡(jiǎn)而言之就是：封殺！賽門(mén)鐵克CA為網(wǎng)站頒發(fā)證書(shū)，谷歌卻說(shuō)他的證書(shū)有問(wèn)題不可信，這已經(jīng)是個(gè)原（da）則（lian）問(wèn)題了。

【一個(gè)老?！?/span>

打個(gè)不嚴(yán)謹(jǐn)?shù)谋确剑?/span>一個(gè)很有聲望的教授經(jīng)常為學(xué)生寫(xiě)推薦信，推薦學(xué)生去知名公司上班，這時(shí)忽然有個(gè)知名的大公司跳出來(lái)說(shuō)：“這教授推薦的人不行啊，三觀不正能力不行，完全是瞎搞！”然后列舉了許多他胡亂舉薦的例子，讓教授的公信力瞬間大打折扣，其他公司也不敢要他推薦的學(xué)生了。谷歌就是這個(gè)跳出來(lái)的公司，賽門(mén)鐵克就是寫(xiě)舉薦信的教授。

瀏覽器和CA的相愛(ài)相殺

要了解此次谷歌和賽門(mén)鐵克互撕事件背后的利害關(guān)系，還得從 CA證書(shū)的原理來(lái)說(shuō)起。

我們平時(shí)使用瀏覽器時(shí)，經(jīng)?？吹揭粋€(gè)綠色的小鎖 ，它表明你進(jìn)入的是真的，而不是偽造的網(wǎng)站，并且所有通信都會(huì)基于證書(shū)來(lái)進(jìn)行加密。CA機(jī)構(gòu)給網(wǎng)站頒發(fā)證書(shū)（證書(shū)簽發(fā)機(jī)構(gòu)， 簡(jiǎn)稱“CA”），瀏覽器則會(huì)通過(guò)一些加密、哈希算法驗(yàn)證證書(shū)是否有效，最后告訴用戶。

據(jù)雷鋒網(wǎng)所知，證書(shū)一般分成三類： DV、OV 、和 EV ，加密效果都是一樣的，區(qū)別在于：

• DV（Domain Validation），面向個(gè)體用戶，安全體系相對(duì)較弱，驗(yàn)證方式就是向 whois 信息中的郵箱發(fā)送郵件，按照郵件內(nèi)容進(jìn)行驗(yàn)證即可通過(guò)；

• OV（Organization Validation），面向企業(yè)用戶，證書(shū)在 DV 證書(shū)驗(yàn)證的基礎(chǔ)上，還需要公司的授權(quán)，CA 通過(guò)撥打信息庫(kù)中公司的電話來(lái)確認(rèn)；

• EV（Extended Validation），URL 地址欄展示了注冊(cè)公司的信息，這類證書(shū)的申請(qǐng)除了以上兩個(gè)確認(rèn)外，需要公司提供金融機(jī)構(gòu)的開(kāi)戶許可證，要求十分嚴(yán)格。

• OV 和 EV 證書(shū)相當(dāng)昂貴。

那么問(wèn)題來(lái)了，CA機(jī)構(gòu)掌握“生殺大權(quán)”，如何頒發(fā)證書(shū)全憑他說(shuō)了算，瀏覽器只是一個(gè)驗(yàn)證的角色。萬(wàn)一 CA 胡亂頒發(fā)證書(shū)怎么辦？又或者，如果CA機(jī)構(gòu)被黑客入侵導(dǎo)致證書(shū)泄露，造成了問(wèn)題怎么辦？

對(duì)于大多數(shù)普通用戶來(lái)說(shuō)，一旦網(wǎng)站出現(xiàn)問(wèn)題，他們只會(huì)認(rèn)為：瀏覽器告訴我這個(gè)網(wǎng)站是可信的，可是我被黑了，瀏覽器騙了我，瀏覽器有問(wèn)題！

 CA 開(kāi)心地賣(mài)證書(shū)賺錢(qián)，出了問(wèn)題瀏覽器廠商也要背鍋。于是市場(chǎng)份額最大的 Chrome 開(kāi)始了“找茬”之路。此次谷歌和數(shù)字證書(shū)領(lǐng)域的老大哥賽門(mén)鐵克交手，也并不是第一次。

你出問(wèn)題，我就找茬

2011年3月，證書(shū)市場(chǎng)份額前列的科摩多（Comodo） 公司遭黑客入侵，七個(gè)Web域共9個(gè)數(shù)字證書(shū)被竊，包括：mail.google.com、addons.mozilla.org 和 login.yahoo.com 等。當(dāng)時(shí)有人稱那次事件為“CA版的 911攻擊。” 

同年，荷蘭的 CA 機(jī)構(gòu) DigiNotar 同樣遭到了黑客入侵，頒發(fā)了大量的偽造證書(shū)。由于這些偽造證書(shū)，數(shù)百萬(wàn)用戶遭到了中間人攻擊。

這些事件給人們敲響了警鐘，結(jié)束了人們盲目信任CA的時(shí)代，也為谷歌之后的一系列動(dòng)作埋下了伏筆。

2013年“棱鏡門(mén)事件”爆發(fā)，斯諾登泄露的文件中透露：美國(guó)國(guó)家安全局就利用一些 CA 頒發(fā)的偽造SSL證書(shū)，截取和破解了大量 HTTPS 加密網(wǎng)絡(luò)會(huì)話。

谷歌再也坐不住了，同年便發(fā)起了證書(shū)透明度政策（Certificate Transparency，簡(jiǎn)稱CT）。這一政策的目標(biāo)是提供一個(gè)開(kāi)放的審計(jì)和監(jiān)控系統(tǒng)，讓任何域名所有者或者 CA 確定證書(shū)是否被錯(cuò)誤簽發(fā)，或者被惡意使用，從而提高 HTTPS 網(wǎng)站的安全性。 

這個(gè)計(jì)劃具體是這么來(lái)做的：

要求CA公開(kāi)其頒發(fā)的每一個(gè)數(shù)字證書(shū)的數(shù)據(jù)，并將其記錄到證書(shū)日志中。

這個(gè)項(xiàng)目并沒(méi)有替代傳統(tǒng)的CA 的驗(yàn)證程序，但是谷歌起到了一個(gè)監(jiān)督CA的作用，用戶可以隨時(shí)查詢來(lái)確保自己的證書(shū)是獨(dú)一無(wú)二的，沒(méi)別人在使用你的證書(shū)，或者偽造你的證書(shū)。

證書(shū)透明度將讓人們可以快速地識(shí)別出被錯(cuò)誤或者惡意頒發(fā)的數(shù)字證書(shū)，以此來(lái)緩解可能會(huì)出現(xiàn)的安全問(wèn)題，例如中間人攻擊。

之后的幾年里，證書(shū)透明度系統(tǒng)和監(jiān)控服務(wù)也確實(shí)幫助了不少網(wǎng)站檢測(cè)出了偽造證書(shū)，比如幫助 facebook團(tuán)隊(duì)發(fā)現(xiàn)了不少偽造其證書(shū)的子域名網(wǎng)站。

從那時(shí)開(kāi)始，瀏覽器廠商和 CA 機(jī)構(gòu)之間的其妙關(guān)系就開(kāi)始導(dǎo)致了更多事情。

不再信任中國(guó)CNNIC數(shù)字證書(shū)

2015年4月，谷歌和火狐瀏覽器都宣布不再信任中國(guó)CNNIC數(shù)字證書(shū)，原因是埃及MCS Holding公司使用CNNIC簽發(fā)的中級(jí)證書(shū)為多個(gè)Google域名簽發(fā)了假的證書(shū)。雖然后來(lái)調(diào)查發(fā)現(xiàn)這事是中國(guó)CNNIC授權(quán)的證書(shū)發(fā)布代理商干的，但并沒(méi)有改變他們的決定。

和賽門(mén)鐵克交手

2015年9月和10月，Google 稱發(fā)現(xiàn)賽門(mén)鐵克旗下的 Thawte 未經(jīng)同意簽發(fā)了眾多域名的數(shù)千個(gè)證書(shū)，其中包括Google旗下的域名和不存在的域名。 

賽門(mén)鐵克當(dāng)時(shí)的解釋是：“那批證書(shū)只是一個(gè)測(cè)試證書(shū)，僅測(cè)試一天就吊銷了，沒(méi)有泄露出去也沒(méi)有影響到用戶” 。賽門(mén)鐵克隨后還是炒掉了相關(guān)的雇員。 然而這一系列動(dòng)作并沒(méi)有改變谷歌的對(duì)此事的決策。

2015年12月，Google發(fā)布公告稱Chrome、Android及其他Google產(chǎn)品將不再信任賽門(mén)鐵克(Symantec)旗下的"Class 3 Public Primary CA"根證書(shū)。

中國(guó)沃通遭眾瀏覽器“群毆”

2016年1月1日，各大瀏覽器廠商開(kāi)始停止接受一些用陳舊的SHA-1 算法進(jìn)行簽名的證書(shū)，因?yàn)镾HA-1算法已經(jīng)被證實(shí)可破解，偽造證書(shū)的成本比較低。

為了規(guī)避 SHA-1停用策略，沃通將證書(shū)的簽發(fā)時(shí)間倒填成2015年12月份。但是很快就被Mozilla 基金會(huì)發(fā)現(xiàn)，然后：

• Mozilla基金會(huì) （火狐瀏覽器）決定沃通和其旗下StarSSL簽發(fā)的證書(shū)；

• 蘋(píng)果將沃通的根證書(shū)從證書(shū)存儲(chǔ)庫(kù)中移除；

• Chrome 56 開(kāi)始，不再信任沃通及被其收購(gòu)的 StartCom 于 2016 年 10 月 21 日之后所頒發(fā)的證書(shū)，直到最終完全移除對(duì)這兩個(gè) CA 的信任！

在推動(dòng)證書(shū)的升級(jí)、機(jī)制的優(yōu)化方面，瀏覽器廠商顯得更加積極主動(dòng)。谷歌對(duì)CA機(jī)構(gòu)的公開(kāi)催促就是最好的證明。2016年10月，谷歌通過(guò)公開(kāi)郵件組發(fā)布公告:

2017年10月后簽發(fā)的所有公開(kāi)信任的網(wǎng)站SSL證書(shū)將遵守Chrome的證書(shū)透明度政策，以獲得Chrome的信任。

平衡將要打破？

谷歌似乎也發(fā)現(xiàn)自己招惹的CA機(jī)構(gòu)越來(lái)越多了，但是他們干脆一不做二不休，自己來(lái)做CA。2017年1月26日，谷歌宣布，為了能夠更快速地處理Google 產(chǎn)品的SSL/TLS 的證書(shū)需求，谷歌將建立自己的ROOT CA（根證書(shū)頒發(fā)機(jī)構(gòu)）。

當(dāng)時(shí)，這一做法便引來(lái)了許多網(wǎng)友的質(zhì)疑：“Google 又做瀏覽器又做CA，這樣真的好嗎？”

谷歌手握全球覆蓋率最高的瀏覽器 Chrome，并在 CAB forum 國(guó)際標(biāo)準(zhǔn)組織中扮演重要角色，掌握著全球CA機(jī)構(gòu)的生殺大權(quán)，擁有不信任任意一家CA根證書(shū)的權(quán)利，如今又建立自己的CA機(jī)構(gòu)。這可能會(huì)使全球?yàn)g覽器和CA市場(chǎng)的格局發(fā)生顯著變化。 

回到此次谷歌和賽門(mén)鐵克對(duì)撕事件：谷歌稱發(fā)現(xiàn)賽門(mén)鐵克2015年曾誤發(fā)了超過(guò)3萬(wàn)個(gè)證書(shū)。賽門(mén)鐵克則回應(yīng)那次誤發(fā)的數(shù)量只有 127 個(gè)，谷歌在夸大其詞。

在雷鋒網(wǎng)編輯看來(lái)，具體的數(shù)字對(duì)于整體的局勢(shì)來(lái)說(shuō)其實(shí)并不重要，因?yàn)椴粫?huì)改變雙方對(duì)于證書(shū)信任問(wèn)題的對(duì)立關(guān)系。

賽門(mén)鐵克此次表示，所有大型的 CA 都發(fā)生過(guò) SSL / TLS 證書(shū)誤發(fā)的事件，但 Google 卻不知為何專門(mén)把賽門(mén)鐵克挑出來(lái)。Mozilla基金會(huì)（火狐瀏覽器） 最近也在考慮對(duì)賽門(mén)鐵克進(jìn)行制裁，并可能和 Google 的行動(dòng)保持一致。

顯然，在CA這件事上，谷歌背后有 Mozilla、Opera 等眾多瀏覽器供應(yīng)商，賽門(mén)鐵克的背后也是眾多CA機(jī)構(gòu)。只要信任、安全的問(wèn)題依然存在，這一系列的爭(zhēng)端、對(duì)立未來(lái)也必將將延續(xù)下去。但無(wú)論如何，加密算法更迭、機(jī)制更加透明……這些事情確確實(shí)實(shí)在發(fā)生，我們普通用戶總是受益的一方。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。