Google不信任風波擴大

DigiCert收購Symantec證書業務


Symantec宣佈，出售電子證書業務，即其CA（Certificate Authority）Root CA業務予
DigiCert，代價為以九億五千萬美元現金，另加後者三成的股權。Symantec出售證書業務，原
因是Google及Mozilla相繼宣佈, 不再信任Symantec證書，導致要重建簽發證書的所有基建。


於7月28日，Google宣佈，明年起不相信Symantec於2016年6月1日之前發出證書。除了
Symantec，屬下Thawte、GeoTrust 、RapidSSL發出證書，均要被注銷。Google的制裁分三
階段進行。2018年8月，Google將完全不信任所有Symantec發出證書。估計Google的
Chrome瀏覽器，佔去全球六成市場以上。

Symantec是全球最大Root CA，作用就是提供不同功能的電子證書，以加強伺服器和客戶端之
間安全。例如網頁以HTTPS傳送資料，以SSL證書和PKI方式加密，或進行電子簽名，又或證
明網站或用戶真正身份。新版的TSL (Transport Layer Security，傳輸層安全性) 為更新SSL 版
本，但業內一般還是統稱SSL證書。

如果證書受到主要瀏覽器的默認信任，用戶與伺服器就可簡單建立加密和安全的通訊，證明對方真正身份。如果說，CA是網上信任的基礎，可說絕不為過。目前受主要瀏覽器信任Root
CA不少；首五位可推Symantec、Comodo、Godaddy、GlobalSign、Digicert。交易之後
，Digicert將一躍成全球最大CA。

Symantec遭多次警告

今年三月，據Google及Mozilla的調查，發現Symantec錯誤簽發大量SSL證書，最後發現錯誤
簽發證書，多達三萬多張。7月28日，Google宣佈不信任Symantec證書後，考慮Symantec作
為全球最大簽發機構，Google同意延遲至明年4月，Chrome 66版本才開始不信任Symantec的
證書，用戶無法再利用證書，加密資料和證明身份。

2015年，Google亦曾發現Symantec旗下CA，向多個不存在域名，甚至Google的域名發出證
書。Google認為，上述證書可用於破壞、冒充、甚至攔截安全通訊。

不少購物網站，為免受到釣魚網站攻擊，一般會使用伸延驗證（Extended Validation，EV），
以第三方驗證網站身份，獲發EV證書檢驗網站，瀏覽器網址欄顯示綠色，意味網站身份受驗
證，客戶可放心進入，SSL證書亦可加密資料；包括了信用卡資訊、姓名、住址等。

Root CA管理不良，代表整個網上信任受到威脅，黑客可利用誤發證書，冒充真正的網站，破
解已加密通訊，甚至竊取敏感的資料。雖然事後Symantec注銷證書；但已注銷證書，仍有機
會用於攻擊。瀏覽器一旦無法接觸查詢注銷的服務器，就無法知悉證書被注銷，結果顯示已注銷證書為有效。

其後，保安專家Hanno Böck又發現，Symantec注銷程序亦告出錯，可利用假私人金鑰，竟然
可以注銷合法網站證書。結果Symantec技術總監Rick Andrews承諾，修正有問題的注銷程序
。

多家CA曾經出事


以往，曾經有Root CA不當發出證書，而被Google不相信事例；最近例子是中國沃通
(WoSign)收購以色列StartCom後，亦因發出有問題的證書，去年Google已宣佈不再信任沃通
的電子證書。2011年，DigiNotar受到入侵，發出多張假證書，結果多個政府和著名機構名稱
遭冒用，黑客設立釣魚網站，甚至以假證書發行「中間人」(man-in- the-middle, MITM)攻擊，
盗取Google及用戶以SSL加密的通信，Google及Mozilla不信任證書後，DigiNotar同年宣佈破
產。


公營機構可信性高

以往，一般Root CA發出證書的機構嚴謹，以確保擁有證書機構，必須符合多項審查，包括商
業登記和身份證明，擁有網站證明等，甚至致電確定身份。但不少Root CA為削減成本，大幅
簡化認證工序，甚至為了多做生意，不惜犧牲了檢查程序，黑客可以利用假證書作攻擊
。Symantec的證書業務佔市場最大份額，收購後，客戶會過渡到DigiCert，預計影響不大。
香港政府的郵政局亦為可發出電子證書的Root CA，本港公營機構，甚至醫管局均使用香港郵
政局的電子證書。

中信國際電訊CPC的信息科技及安全服務部高級副總裁鄺偉基說，中信國際電訊CPC亦使用
DigiCert證書服務，一向審查嚴謹，他對今次收購表示歡迎。

鄺偉基說，以往多次SSL證書服務出現濫發問題，反映私人經營的業務，受成本和業績壓力，
可能會降低查證的嚴謹性，影響網上對保安信心。雖然，香港郵政局證書服務不錯，審查嚴謹，但礙於價格和推廣，不少人還是用了其他的證書服務。網上安全影響到市民對網上交易的信心，他認為郵政局可擔任更積極角色，甚至與私人機構合作，加強本港網上交易和資料的信任。