赛门铁克2015年误发逾3万个凭证，Google祭制裁：Chrome逐步不再承认其凭证

因应近一年半前赛门铁克（Symantec）误发大量凭证，Google周四宣布即日起Google Chrome将逐步限制赛门铁克发出的HTTPS凭证。
 
2015年9月，赛门铁克坦承旗下Thawte凭证机构误发Google.com延伸验证凭证（Extended Validation，EV），并开除相关员工。当时赛门铁克表示误发了23个凭证，但Google最近发现其实总量超过3万个。这意谓著众多使用者可能因此连上包含恶意程式的网站，使其个人资料或帐密等陷入被窃取的风险。对此感到十分不满的Google在2015年即扬言要对赛门铁克采取制裁。
 
即日起，Chrome将不再承认赛门铁克签发的所有凭证。原本Chrome浏览器会在地址列显示有效网域持有者，即赛门铁克的名称，但Google工程师Ryan Sleevi指出，从现在起至少一年间，Google不再显示这项资讯，这意谓赛门铁克的凭证被降级为较不安全的网域凭证。立即实施否认延伸验证凭证的措施主要会对赛门铁克客户及网站使用者造成不便，但还不致于无法使用。
 
但未来Google计划，透过Chrome升级逐渐废止赛门铁克旗下凭证机构签发的现有所有凭证。由于2015年赛门铁克签发的凭证占整个互联网所有有效凭证的30%，此举将导致数百万Chrome用户无法存取大量网站。为了降低冲击，Chrome将在未来新版中，逐步缩短赛门铁克凭证的有效期限。在Chrome 59中，这些凭证有效期间为33个月，到Chrome 64时，将缩短为9个月。
 
赛门铁克对此感到不满，表示Google动作令人措手不及，且这种措施也相当不负责任。赛门铁克也提醒SSL/TLS客户，目前“不用采取什么行动”。