瀏覽器與SSL憑證的愛恨情仇

上禮拜的文章裡我們提到了Google與賽門鐵克(Symantec)之間浮上檯面的矛盾,或許可視為暴風雨來臨前的前兆,自數位憑證於西元1994年問世以來,瀏覽器與憑證之間的愛恨糾葛一直都非常複雜。

對於瀏覽器來說,憑證的發行掌握在憑證商手中,瀏覽器只能驗證該憑證是否為合格廠商發行,若憑證商誤發了沒有經過正常加密的憑證呢? 憑證雖是別人發的,但告訴用戶該網站為可信任的則是瀏覽器,此時很多用戶會怪罪到瀏覽器頭上,覺得是他們的問題,發行憑證賺錢的是憑證商,出差錯時的責任卻往往由瀏覽器來承擔,這口氣要不吭聲的吞下去還真的是有難度,也難怪Google開始採取強勢做法。

 

“「證書透明化」制度的誕生”

 

2013年,美國爆發了知名的醜聞,史諾登先生(Edward Snowden)揭露了一系列美國持續大規模監聽與監看的證據,其中的「稜鏡計畫」(PRISM)出現了SSL憑證的身影。在被公佈的文件之中,提到了美國國安局藉由頒發偽造的憑證,竊取到了許多原本該被加密保護的通訊內容。Google為此制定了他們的「證書透明化(Certificate Transparency)」政策,期望能建立一個公開的審查系統,讓每個憑證的用戶能查詢自身的憑證是否被錯誤發行,提高憑證使用的安全性,所有已核發的憑證都必須被明確記錄。

CT政策的誕生如預期地幫助了用戶揪出許多使用偽造或錯誤證書的網站。但仍有憑證被錯誤發行,而瀏覽器商的回應也愈來愈強勢。以下是近期發生的事件 :

2015年4月 : Google與Firefox宣布不再信任中國CNNIC的數位憑證,因一家名為MCS Holding的公司使用CNNIC核發的中級證書偽造了多個Google域名憑證,儘管後來發現是CNNIC授權的下游代理商做的,他們仍維持原決策。

2015年9月 : Google發現Symantec簽發了上千個不符合程序的憑證,雖然Symantec馬上出面滅火並開除了相關員工,Google仍決定未來旗下相關產品將降低對Symantec憑證的信任度。

2016年1月 : 這一年開始各家瀏覽器開始停用舊版使用SHA-1演算法簽章的憑證,中國沃通為了規避置換新版憑證的成本,將憑證發行的時間改為2015年12月,但很快地被發現,各大瀏覽器商紛紛宣布不再接受沃通及其旗下憑證商發行之憑證。

 

“SSL憑證的版圖即將變動?”

 

經過了這麼多的紛擾,Google於今年1月底宣布將建立自己的「根憑證核發機構」,以因應旗下產品對於SSL憑證的大量需求,但引發許多質疑的聲浪,Google本身即是世界上數一數二的瀏覽器商,可選擇不信任任何一家廠商的憑證,並且在CAB Forum組織中擁有重要話語權,全世界的憑證商都要看Google幾分臉色,現在Google宣布要親自涉入憑證發行的領域,肯定會對全世界的版圖產生決定性的影響。

來源 : https://kknews.cc/tech/r9omvan.html/