QCon北京「鸿蒙专场」火热来袭!即刻报名,与创新同行~ 了解详情
写点什么

赛门铁克意外泄漏多个 Google SSL 证书

  • 2015-10-27
  • 本文字数:849 字

    阅读完需:约 3 分钟

制定和实施加密的安全系统是很困难的。星期五(九月十八日)Symantec 悄悄地发布了一项公告,这提醒了他们它是多么艰难。根据Symantec 的 Quentin Lin 和Charlene Mike-Billstrom 所说,3 个SSL 证书意外地在公司内部泄露。虽然公告试图淡化这次泄漏的意义,但值得注意的是,多个员工已经因为这一事故被解雇。

有关这起事故的其他细节已由谷歌单独公布。这篇文章解释说,Symantec 的Thawte 单位发布了新的、未被要求的www.google.com 和google.com 证书。Google 的Chrome 浏览器通过浏览器使用的证书透明日志来检测到了这一点,这一点似乎表明,这些证书在一定的能力上可能已经被公开发布了。然而,Google 的员工觉得这些证书的创造没有不良影响,因为他们只在检测的前一天有效。Symantec 认为这些证书仍然在测试环境中。目前还不清楚第三个证书属于哪些域名。

尽管谷歌试图提供保证,但对Symantec 的帖子的评论已经明显负面化。受访者“ ianbfarquhar ”指出,Symantec“这些证书的发放属于哪些站点没有被公开”和“[这一事件的] 相关信息和发生原因应该更加透明”。

受访者“frenchdiver”指出:

“你清楚地在内部使用 / 测试了客户的敏感材料。为什么这个会得到许可,为什么会做出这样的决策??…这篇文章似乎暗示说,“嘿,发生了一些不好的事情,但实际上,这是因为我们的一些员工做了一些坏事。所以我们解雇他们。现在一切都好了”。有领导能力的人怎么会说出这样的话??”

Cory Doctorow解释说,使得这个泄露更令人忧心的是,由于证书标记扩展验证,理论上Symantec 做了“额外功课”来证实它确实是Google 的官方证书。因此,这些证书基于的高度意识受到了损害才是更多被关注的焦点。

查看英文原文: Symantec Accidentally Leaks Multiple Google SSL Certificates


感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-10-27 19:001988
用户头像

发布了 32 篇内容, 共 19.7 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

非科班程序员求职经历分享,阿里P7亲自教你

Java 程序员 后端

一种优于gzip的压缩方式Brotli

devpoint

9月日更 gzip Brotli

什么是主数据

奔向架构师

主数据 9月日更

消息队列存储消息数据的 MySQL 表格设计

tjudream

数据库 索引 消息队列 架构训练营 表结构设计

Vue进阶(幺贰零):父组件获取子组件验证结果

No Silver Bullet

Vue 9月日更

1行代码爬CSDN热榜,Python哈啤酒式写法

梦想橡皮擦

9月日更

评审通过,开建!

云计算,

手撸二叉树之层序遍历

HelloWorld杰少

9月日更

在线JSON转GraphQL工具

入门小站

工具

近期焦虑有感

Nydia

Golang 入门指南

baiyutang

编程 程序员 Go 语言 9月日更

非科班程序员求职经历分享,Java面试知识点

Java 程序员 后端

高并发下HashMap的死循环是怎么形成的,Java基础知识点汇总

Java 程序员 后端

为什么要坚持日更?

石云升

9月日更

网络攻防学习笔记 Day139

穿过生命散发芬芳

9月日更 网站安全基础

JVM内存模型学习笔记(一)

风翱

9月日更 JVM内存模型

关于微服务系统中数据一致性的总结

看山

微服务 后端 数据一致性 引航计划 数据自洽

饿了么4面(Java岗)面经分享,Java技术专家需要掌握的技能

Java 程序员 后端

饿了么4面(Java岗)面经分享,如何在面试中通过工厂模式来给自己加分

Java 程序员 后端

高并发下HashMap的死循环是怎么形成的,Java自学宝典pdf

Java 程序员 后端

高并发下HashMap的死循环是怎么形成的,熬夜整理Java高频面试题

Java 程序员 后端

linux之rpm命令

入门小站

Linux

Prometheus 2.21.0 新特性

耳东@Erdong

release Prometheus 9月日更

19. 今天的人工智能还不能做什么?

Databri_AI

人工智能

【Flutter 专题】43 图解 Flutter 适配 AndroidX

阿策小和尚

Flutter 小菜 0 基础学习 Flutter Android 小菜鸟 9月日更

赛门铁克意外泄漏多个Google SSL证书_DevOps & 平台工程_Jeff Martin_InfoQ精选文章