日前，Mozilla开发人员公布了Symantec证书颁发机构的14个“已确认或疑似存在”的问题，以便Symantec正式解决这些问题。

　　而在此之前，谷歌指责Symantec证书颁发机构相关的不正当行为以及Symantec对谷歌提出的制裁采取了防御响应，对此，谷歌将采取相应措施，包括不信任Symantec证书并要求Symantec重新发布几乎所有的证书。

　　Symantec最初对谷歌的“制裁”作出了回应，称谷歌的行为“不负责任”，并认为谷歌对其证书颁发做法的陈述“夸张且具误导性”。

　　Mozilla开发人员列出了Symantec证书颁发机构相关的问题清单，包括2009年到2015年之间发生的测试证书错误，发布被禁用的SHA-1证书以及与美国联邦公共密钥基础设施(PKI)证书颁发机构交换签名等相关问题。

　　“当我们在思考如何对Symantec最近发生的问题做出反应时，我们认为最好是列出问题清单，”Mozilla公司软件工程师Gervase Markham表示，“这意味着Symantec可以正面回应所提出的问题，且其回应也将被整个社区看到。”

　　Symantec暂未对此发表评论。

　　Makham在上个月“谷歌称不信任Symantec证书”的论坛帖子中发表评论称：“谷歌已经确定了Symantec的问题，并适当地评估了问题的严重程度。值得关注的是，Symantec也已发现其中一家证书颁发机构存在问题，他们要求该机构作出整改，不过他们对该机构颁发的证书并没有采取任何行动。”

　　“整个网络对HTTPS的信任意味着我们需要信任几个主要参与者——根证书颁发机构，”咨询公司Rendition InfoSec LLC创始人Jacob Williams称，“我认为在印证Symantec证书不可信方面谷歌是有说服力的。”

　　根据Mozilla发布的Symantec问题清单，联邦PKI是“非常复杂的PKI”，它“应用于Mozilla的root store，”但Mozilla认为“由于很难使整个联邦PKI符合Mozilla政策，这不太可能成功。”

　　尽管如此，自2011年2月以来，Symantec在FPKI已经交叉签署两个证书颁发机构，从技术上来看，这意味着Symantec需要对FPKI发布的证书负责，而Symantec并没有披露其中间CA证书，这与Mozilla当时的要求相反。

　　“我认为问题在于他们在SHA-1证书禁用后继续发布该证书，然而SHA-1是有很大的问题的。此外，交叉签名联邦证书颁发机构也是问题。”

　　Markham在Mozilla wiki上发布Symantec证书颁发机构问题清单，其中列出了Symantec证书颁发机构所有最近的问题，以及其证书颁发活动如何不符合相关标准，特别是不符合CA/Browser论坛基准要求设置的标准。

　　虽然不正当发布SHA-1证书以及联邦PKI证书颁发机构的问题令人担忧，但还有另安全专家担心的事情。

　　Williams提到2015年5月1日到2016年4月30日Symantec合作伙伴Certsuperior的审计报告，称之为“Symantec签署存在‘网络安全隐患’子证书颁发机构的例子”。这个10页的审计报告中有8页详细说明了Certsuperior不符合CA/Browser论坛标准的细节。

　　“我认为谷歌肯定会采取制裁措施，”Williams称，“我们现在知道的是，在证书颁发机构的运营中，Symantec辜负了大家对其的信任，Symantec证书没有立即失效的原因是这会搅乱整个互联网，但看来又不得不为之。”

　　责任编辑：DJ编辑