赛门铁克证书危机再起:逾百张违规证书引发的信任崩塌

安全研究员发现赛门铁克旗下证书颁发机构CrossCert违规签发超百张问题证书,引发对证书信任体系及赛门铁克监管机制的质疑。本文剖析事件细节、技术漏洞根源及行业影响。

事件概述

安全研究员安德鲁·艾尔(Andrew Ayer)近期发现赛门铁克(Symantec)旗下证书颁发机构CrossCert违规签发超过100张问题证书。赛门铁克随后紧急撤销这些证书并启动自查,发现实际违规签发数量达127张(艾尔最初报告为108张),时间跨度自去年7月起长达六个月。

技术背景与违规细节

  • 违规主体:韩国证书颁发机构CrossCert,为赛门铁克合作方
  • 违规操作:违反赛门铁克证书签发策略,强行绕过合规性检查失败标志(compliance failure flags)
  • 历史问题:这是赛门铁克18个月内第二次曝出证书问题。2015年末,谷歌通过证书透明度计划(Certificate Transparency)发现其违规签发行为。

核心质疑与行业影响

  1. 监管漏洞:合作证书机构为何能在赛门铁克未察觉的情况下大规模违规?
  2. 责任归属:赛门铁克是否应直接介入证书审批与签发流程?
  3. 体系信任:当前证书颁发机构(CA)系统是否存在根本性缺陷?

赛门铁克应对措施

  • 承诺全面审查证书颁发流程及合作伙伴
  • 接管CrossCert未来所有证书的验证与签发工作

延伸讨论

该事件再次暴露PKI(公钥基础设施)生态中依赖第三方机构的潜在风险,引发对去中心化证书验证方案的关注。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次