2017年3月發生了一起耐人尋味的事件。Google宣布將對在SSL憑證頒發領域具指標性意義的Symantec投下不信任彈,未來旗下的相關產品將降低對Symantec憑證的信任度。
“事件的起源”
原來早在2015年9月時,Symantec誤發了一系列的EV憑證。起初Symantec聲稱,僅誤發了23個憑證(後改口為100多個),但Google則表示誤發的憑證總數超過了30,000個,誤發的憑證將導致用戶無法正確辨認瀏覽網站的可靠性,引發網路使用環境的疑慮,不論實際數字為何,Google都決定要採取因應的措施。
Symantec針對此事發表了抗議,誤發憑證的情形時有所聞,並非只有他們發生過,且這次的失誤並無造成實際損害,針對內部員工也追究了責任,對於Google堅持採取強硬措施感到失望,他們會持續溝通,並呼籲客戶不需多慮,仍然正常使用憑證即可。
“另有所圖?”
Google近期針對SSL憑證動作頻頻,也引發了許多猜想,是否存在於憑證商與瀏覽器商之間的平衡即將被打破? 下篇文章我們將會進行更多討論。