Firefox开发人员工具显示https://www.google.com正在使用通过SHA1签名的证书。当Google自己逐步淘汰证书时,为什么要这样做?

这不应该只会损害Google的声誉和利益吗?

评论

也许您不知道Google是一家拥有许多不同部门的大型公司?而且部门之间并不总是能够正确地进行对话,更不用说在事情上达成共识了。。。不再是三个人在车库里经营整个商店了。
是的,但是公司确实有一些必须遵守的规则。
正是由于这个原因,FWIW Chrome现在抱怨与google.com的HTTPS连接不安全。

#1 楼

这可能是“做我说的,而不是我做的”的情况。请注意,Chrome抱怨使用SHA-1来签署其有效期超过2015年底的证书。在这种情况下,Google的证书是短暂的(目前,他们使用的证书于2015年6月3日颁发,而将于2015年8月31日到期),从而避免了Chrome在SHA-1上的报复性厌恶。

使用短期证书是一个好主意,因为它具有很大的灵活性。例如,Google可以放弃使用SHA-1(尽管Chrome采取严格的立场),因为用于确保证书完整性的算法不需要在证书过期后就变得强大。因此,他们可以将SHA-1用于有效期为三个月的证书,只要他们认为浏览器认为SHA-1绝对是恶魔的工具时,他们至少会提前三个月通知,

我对他们为何仍使用SHA-1的猜测是,他们希望与某些尚不支持SHA-256的现有系统和浏览器进行互操作。除了SP3之前的Windows XP系统(应尽快从Internet上删除)之外,人们可能还会想到仍然存在大量现有的防火墙和其他入侵检测系统,这些系统对SHA-256均造成了麻烦。通过使用SHA-256支持的证书,Google会冒使某些客户的网站“崩溃”的风险-不是由于Google的过错,而是客户的要求并不总是公平的。

因此,Google的策略似乎如下:


他们将Chrome浏览器配置为在看到SHA-1证书延续到2016年或更晚时发出尖叫和哀叫。
在所有可怕的警告中,现有SSL服务器(而不是Google的SSL服务器)的用户开始荒废(例如,由于担心而无法完成在线银行交易),从而迫使服务器管理员购买SHA-256证书。
现在,这些新证书在必须使用过时的浏览器或防火墙的穷人眼中“破坏”了这些站点。这应该迫使人们升级这些浏览器和防火墙。
同时,谷歌的声誉丝毫没有受到损害,因为他们的网站永远不会触发任何警告或破坏旧的防火墙-因为它仍然使用SHA-1!整个世界已切换为SHA-256,所有防火墙都已更新,Google的路径变得清晰,他们可以将SHA-256用于其新证书。

这非常聪明(而且有些邪恶的策略),如果他们能够实施(并且Google就是Google,我相信他们可以)。

评论

您写了“ Google的证书是短暂的”。是的但是它也是SHA2。 (或者至少是我的SSL Labs扫描得到的一个。)因此,如果他们害怕破坏任何东西,则它们在EE证书上的SHA2和在中间证书上的SHA1都不会获得任何好处。相反,这似乎是两全其美。让我感到困惑。 (屏幕截图:请参见下面的答案。)

– StackzOfZtuff
2015年6月11日在21:05
我不确定Google是否会将相同的证书发送给所有人。众所周知,在每个名称(例如www.google.com)下,它们在世界各地都有许多服务器。也许您看到的证书和我看到的证书不同。 (我应该做一个屏幕截图。)

–托马斯·波宁(Thomas Pornin)
2015年6月11日在22:08
对我来说似乎很合理……“如果您的证书在2015年之后过期,那么大概您打算继续使用该证书,因此,我们会立即对其进行警告。但是,如果您的证书在此之前过期,那么大概您将在该日期之前用更新的证书替换它,因此我们不需要警告您。”

– Ajedi32
2015年6月12日15:59
Nitpick:我认为称其为“邪恶”是不合适的。当然,这样做的目的是为了避免自己因触发证书错误而赢得声誉,因此Google符合自己的利益,但是他们正在做任何负责的网站管理员团队应该做的事情,即积极主动地保护安全。作为副作用,它们将网络的其余部分推向更高的安全标准。我看不出有谁因这项策略而遭受不当的痛苦。

– David Z
15年6月12日在17:13
直到有些邪恶的评论出现为止,这个答案几乎是对所发生事情的公正,事实总结,这使得结束该帖子成为一种非常令人惊讶的方式,似乎并没有朝这个方向发展。如果对它作进一步的解释,那么我认为这是邪恶的,那我不会有任何问题,以便我可以理解这一观点。从我的角度来看,他们制定了一些规则,并且完全按照自己的规则进行游戏,这很公平。在他们的领域规则中增加豁免,那将是邪恶的。

–胸骨
2015年6月15日在6:31


#2 楼

元答案/评论。

再。托马斯(Thomas)的回答:
我刚刚在Google.com服务器上运行了SSL实验室扫描,看来最终实体证书实际上是SHA256withRSA。但是(单个)中间体仅为SHA1withRSA。不知道为什么。

屏幕截图:


评论

不只是单一的中间体,还有GeoTrust。谢谢!

–妖精
2015年6月11日在21:07
是的但是信任锚并不重要。无论如何,它们都是自签名的。

– StackzOfZtuff
2015年6月11日在21:08
听起来像是一个例外情况,对我来说,信息质量足够。

– Jeff Ferland♦
2015年6月12日15:51

#3 楼

正如StackzOfZtuff所指出的那样,SHA1签名位于寿命很长的中间CA“ Google Internet Authority G2”中。 ²HSM本身可以使用SHA1,SHA-256,SHA-384或SHA-512进行签名。³

但是,HSM证书的签名是由GeoTrust完成的-大概是在2013年4月,使用他们的
GeoTrust Global CA根目录,当时普遍使用SHA-1签名。通过SHA256根交叉签名并替换服务器发送的证书,可以用SHA256签名替换该签名,但尚未完成。

请注意,如果攻击者能够创建与Google Internet Authority冲突的SHA-1密钥,旧签名仍然可以使用,用于HSM替换,我猜它计划在接下来的12个月内执行。

¹2013年5月4日15:15:55至2016年12月31日23:59:59 GMT

²https://pki.google.com/GIAG2-CPS-1.2.pdf第6.1.1节

³每个附录B

⁴尽管在可行时应撤消所有SHA-1签名根源...