Mozilla星期一发布了长达10页的报告,包括迄今为止事件和问题的深入总结,以及其回应的草案版本。
对于赛门铁克爆出的问题,谷歌和Mozilla进行了公开调查,找到更多的管理不善的证据。两家公司随后同意让赛门铁克提供自己的反建议(“补救计划”)来处理他们上周做的问题。然后,Google提供了反提案。
由Google的Ryan Sleevi撰写的反提案已于4月中旬发送给赛门铁克,部分内容在上周公开发布。它建议Symantec与另一个CA合作,“从方程式中删除赛门铁克基础架构和验证流程。”
将来,赛门铁克可以获得该CA或其根源,并将其发布和验证重新置于其顶层。具体条件不详细。
虽然这是一个激进的建议,但Sleevi指出,它将“减轻我们与新证书相关的主要问题”,而无需对新的Symantec SSL证书进行限制。
由于所有新的Symantec证书将由单独的PKI基础设施来处理,因此它将使浏览器完全相信与现有基础架构相关的错误被消除。现有的证书仍然需要处理,但这本质上对赛门铁克的CA来说不失为一个好的开始。
在报告中,Mozilla表示,他们也认为这是赛门铁克最好的发展方向,并敦促公司考虑。如果赛门铁克决定不重新启动他们的PKI,Mozilla也提出了一个做法。
即:
值得注意的是,Mozilla Symantec提案并不涉及删除赛门铁克的EV状态(Google的拟议计划)。其报告指出“风险已经消除,并且没有现有的赛门铁克EV证书受到影响。因此,取消EV状态似乎是无理的。“
尽管目前Mozilla和Google都没有正式公布其措施,但 Mozilla表示将于5月8日发布最终决定,并在此接受公开评论。Google的建议仍在内部审议,没有已知的最后期限。 而苹果和微软方面一如既往地安静。
稿源:the ssl store
上一篇:遭遇”取消信任“危机 赛门铁克终向谷歌提出异议
下一篇:OpenSSL支持TLS1.3特性前瞻