注册
登录
嗨,右上角关注差评头条号吧! 这一次,赌上信任与眼光!
不想背锅的 浏览器 今天突然有个新闻火了,大概的意思是,Google translate 的手机版 App 可以在天朝流畅使用,不必去科学上网了~ 来自网易的新闻
关于这件事,各大媒体众说纷纭,差评君想说,都是幻觉,下个版本的更新日志没准会变成 “ 我们修复了一个可能导致中国用户正常访问的 Bug ”。。。 除去这个事,最近 Google 还发生了另一件事,不知道各位差友有没有关注? Google 宣布逐步降低对铁门塞克所签发证书的信任
Google 大家都了解,但肯定会有差友会问,赛门铁克是什么鬼? 赛门铁克是一家世界领先的信息安全解决方案提供商,主要为个人,企业提供互联网安全解决方案。 赛门铁克的 Logo
如果还是不理解的话,可以把它想象成天朝的360,不过他比 360 在世界领域内出名了很多~ 市值近 200 亿
赛门铁克在大众眼里,最出名的应该是杀毒软件了,就是大名鼎鼎的诺顿~ 诺顿
总之,就是一个叼到不行的互联网信息安全公司,结果,现在 Google 突然蹦出来说他们家证书不安全。。。 那么问题来了,啥是证书? 互联网时代,大家都通过网络联系,谁都不认识谁,为了确保安全,要验证一下对方的身份,才敢安心的跟他交流信息不是? 举个例子,A 想去 B 银行的网银网站去做一笔交易,但是 A 没法知道他现在登陆的网站到底是不是真正的 B 网站,万一是个钓鱼网站,那就惨了。。。 为了解决这种尴尬的境情况,CA证书诞生了~ 百度的 CA 证书
CA证书是个解释起来很麻烦的东西,差评君下面举个栗子~
上面这个故事里,A 就是网站,B 是使用网站的用户,C 是颁发证书的三方机构,那个信物就是 CA 证书! CA 验证通过之后,浏览器会显示一个小绿色锁头,表示网页安全
赛门铁克作为世界知名的信息安全大佬,非常有公信力,所以就自己开了一家 CA 签发机构,专门给网站签发证书,用户看到了网站有大佬签字证明安全的证书,自然是觉得稳稳的!
这些证书是分等级的,有些是免费的,有些是商务证书,除了显示绿色小锁头,还会显示网站注册公司的名字,专防钓鱼网站。 诺顿杀入软件的官网前显示注册公司为 “ 赛门铁克 ”
像赛门铁克这种大佬,是有资格颁发这类证书的,不过,不是免费滴,总要给大佬些俸禄嘛~ 而且这些证书卖的真心不便宜,安全级别最高的证书,要 10W 人民币一年。。。 有兴趣的差友可以点开看大图
反正赛门铁克老大哥就是凭着自己的公信力,卖卖证书赚点钱。。。 这时候就有人会问了,要是有大佬为了钱,乱发证书咋办??? 这些厂商就在一起搞了个独立审查机制,所有 CA 证书颁发之前,都要拿出来给他家透明审查,大家都觉得没问题就能发。 这次 Google 突然蹦出来喷赛门铁克 “ 你们家证书不安全,我准备把你们家颁发的证书的网站全都标记成不安全! ”,就是因为 Google 发现赛门铁克未经过 ICANN 和一些独立审核机构同意,私自签发CA证书,而且还特么发了 3W 份! ICANN
如果这 3W 份证书里有一些被被有用心的人利用了,去做些钓鱼网什么的,那用户妥妥的中招。。。 讲道理,这件事跟 Google 似乎没有卵关系,为什么 Google 要蹦出来撕逼呢? 因为 Google 怕背锅!!! 众所周知,Google 旗下的 Chrome 浏览器是现在 PC 端使用率最高的浏览器,毕竟 Win 自带的浏览器做的太差。。。 Chrome
大家上网的时候呢,CA证书的验证过程是由浏览器完成的,最后提现给用户,就像上面提到的网址前面有个小绿锁头,告诉大家这个网站安全,是可以信任的。 这里存在一个漏洞,浏览器是只认证书的,只要从 CA 颁发机构那里验证了准确性,就会给用户提现 “ 这个网页是安全的 ” 的提示。 也就是说,如果 CA 颁发机构瞎发证书给一些不正经的网站,浏览器是认不出来的,还会傻乎乎的给用户 “ 网页安全 ” 的提示。。。 这他妈就尴尬了,万一出了事算谁的?
普通用户也不懂是么是 CA 啊!浏览器显示安全就会去用,最后用户全怪罪到浏览器头上,Google 岂不是躺着中枪。。。 所以,Google 才会过来撕逼赛门铁克,而且撕的很强势,因为 Google 说的是 “ 逐步不信任赛门铁克颁发的所有证书 ”。 不信任的结果是这样的,网站会被标记为 “ 不安全 ”
这个波及的范围是非常大的,这跟 CA 证书的颁发机制有关,这个机制是:假设 C 证书信任 A 和 B;然后 A 信任 A1 和 A2;B 信任 B1 和 B2。只要C是可信的,那么下面的分支就全是可信的!
作为一个巨头,赛门铁克的发出去的证书和证书分支会有多少,可想而知,赛门铁克的证书被封杀,是灾难性的。 其实这件事,对于赛门铁克来说冲击也就那么回事,毕竟家大业大业务那么多,这一小块部分洒洒水而已。 最惨的是给赛门铁克交了保护费买证书的那些网站运营者了,一年 10W 块保护费交着,还不被承认,这他妈招谁惹谁了?。。。
“ Don't be evil ”
好了,差评君要休息去了,各位头条的差友,别忘了订阅我们哦。 |
| 本文出处: http://www.toutiao.com/a6402951114756931841/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
