BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

赛门铁克意外泄漏多个Google SSL证书

| 作者 Jeff Martin 关注 16 他的粉丝 ,译者 百占辉 关注 0 他的粉丝 发布于 2015年10月28日. 估计阅读时间: 2 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

制定和实施加密的安全系统是很困难的。星期五(九月十八日)Symantec悄悄地发布了一项公告,这提醒了他们它是多么艰难。根据Symantec的 Quentin Lin和Charlene Mike-Billstrom所说,3个SSL证书意外地在公司内部泄露。虽然公告试图淡化这次泄漏的意义,但值得注意的是,多个员工已经因为这一事故被解雇。

有关这起事故的其他细节已由谷歌单独公布。这篇文章解释说,Symantec的Thawte单位发布了新的、未被要求的www.google.com和google.com证书。Google的Chrome浏览器通过浏览器使用的证书透明日志来检测到了这一点,这一点似乎表明,这些证书在一定的能力上可能已经被公开发布了。然而,Google的员工觉得这些证书的创造没有不良影响,因为他们只在检测的前一天有效。Symantec认为这些证书仍然在测试环境中。目前还不清楚第三个证书属于哪些域名。

尽管谷歌试图提供保证,但对Symantec的帖子的评论已经明显负面化。受访者“ianbfarquhar”指出,Symantec“这些证书的发放属于哪些站点没有被公开”和“[这一事件的]相关信息和发生原因应该更加透明”。

受访者“frenchdiver”指出:

“你清楚地在内部使用/测试了客户的敏感材料。为什么这个会得到许可,为什么会做出这样的决策??…这篇文章似乎暗示说,“嘿,发生了一些不好的事情,但实际上,这是因为我们的一些员工做了一些坏事。所以我们解雇他们。现在一切都好了”。有领导能力的人怎么会说出这样的话??”

Cory Doctorow解释说,使得这个泄露更令人忧心的是,由于证书标记扩展验证,理论上Symantec做了“额外功课”来证实它确实是Google的官方证书。因此,这些证书基于的高度意识受到了损害才是更多被关注的焦点。

查看英文原文:Symantec Accidentally Leaks Multiple Google SSL Certificates


感谢张龙对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT