赛门铁克意外泄漏多个 Google SSL 证书

制定和实施加密的安全系统是很困难的。星期五（九月十八日）Symantec 悄悄地发布了一项公告，这提醒了他们它是多么艰难。根据Symantec 的 Quentin Lin 和Charlene Mike-Billstrom 所说，3 个SSL 证书意外地在公司内部泄露。虽然公告试图淡化这次泄漏的意义，但值得注意的是，多个员工已经因为这一事故被解雇。

有关这起事故的其他细节已由谷歌单独公布。这篇文章解释说，Symantec 的Thawte 单位发布了新的、未被要求的www.google.com 和google.com 证书。Google 的Chrome 浏览器通过浏览器使用的证书透明日志来检测到了这一点，这一点似乎表明，这些证书在一定的能力上可能已经被公开发布了。然而，Google 的员工觉得这些证书的创造没有不良影响，因为他们只在检测的前一天有效。Symantec 认为这些证书仍然在测试环境中。目前还不清楚第三个证书属于哪些域名。

尽管谷歌试图提供保证，但对Symantec 的帖子的评论已经明显负面化。受访者“ ianbfarquhar ”指出，Symantec“这些证书的发放属于哪些站点没有被公开”和“[这一事件的] 相关信息和发生原因应该更加透明”。

受访者“frenchdiver”指出：

“你清楚地在内部使用 / 测试了客户的敏感材料。为什么这个会得到许可，为什么会做出这样的决策？？…这篇文章似乎暗示说，“嘿，发生了一些不好的事情，但实际上，这是因为我们的一些员工做了一些坏事。所以我们解雇他们。现在一切都好了”。有领导能力的人怎么会说出这样的话？？”

Cory Doctorow解释说，使得这个泄露更令人忧心的是，由于证书标记扩展验证，理论上Symantec 做了“额外功课”来证实它确实是Google 的官方证书。因此，这些证书基于的高度意识受到了损害才是更多被关注的焦点。

查看英文原文： Symantec Accidentally Leaks Multiple Google SSL Certificates

感谢张龙对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群）。