V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
FunnyToy
V2EX  ›  SSL

Google 宣布创建自己的 Root CA

  •  
  •   FunnyToy · 2017-02-16 10:09:59 +08:00 · 5984 次点击
    这是一个创建于 2840 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Google 1 月 26 日宣布,为了能够更快速地处理 Google 产品的 SSL / TLS 证书需求,谷歌将建立自己的 root CA , Google Trust Services 将是代表 Google 和 Alphabet 来操作这些证书颁发机构的实体。将根证书嵌入产品中并等待这些版本的产品被广泛部署还需要一定的时间,因此谷歌收购了 Globalsign 的两个根( GlobalSign R2 和 R4 )。 https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html
    15 条回复    2017-02-16 16:14:57 +08:00
    FunnyToy
        1
    FunnyToy  
    OP
       2017-02-16 10:13:00 +08:00
    Google 即做浏览器又做 CA ,这样真的可以吗? Chrome 浏览器覆盖率那么高,对所有 CA 都掌握生杀大权呢~
    liudanning
        2
    liudanning  
       2017-02-16 10:23:36 +08:00 via iPhone
    @FunnyToy 只能“不作恶”了
    namebus
        3
    namebus  
       2017-02-16 10:42:22 +08:00   ❤️ 2
    Google 原来其实就是个 CA ,早已经过了 WebTrust 审计,只不过 Root 是使用的 GeoTrust ,但只是给自己签发证书。
    Google Trust Services 应该也是服务于自己。
    Rezark
        4
    Rezark  
       2017-02-16 11:02:42 +08:00
    看着其它 CA 都在大口吃肉,谷歌也坐不住了,利用自己 chrome 浏览器的用户量制定规则,通过制裁其它 CA 来实现自己 root CA 的市场占有率,实在很难想象自己“作恶”后会不会自己制裁自己。
    wdlth
        5
    wdlth  
       2017-02-16 12:44:44 +08:00
    看来铁总要发布自己的 12306 浏览器……
    sneezry
        6
    sneezry  
       2017-02-16 13:34:01 +08:00 via iPhone
    Google 做 CA 不是为了卖证书吧,上面的盆友们貌似跑偏了
    ScotGu
        7
    ScotGu  
       2017-02-16 13:38:22 +08:00
    >@wdlth 看来铁总要发布自己的 12306 浏览器……
    内置:在线选座,自动抢票的功能么? 那我咬咬牙就用了!
    winterbells
        8
    winterbells  
       2017-02-16 14:00:08 +08:00 via Android
    以后在谷歌注册域名会送 ssl 证书吗=。=
    lyragosa
        9
    lyragosa  
       2017-02-16 14:04:53 +08:00
    说起来 chrome 以前有个 ssl 透明度审核,现在好似也没了……
    FunnyToy
        10
    FunnyToy  
    OP
       2017-02-16 14:58:01 +08:00
    @wdlth /笑 cry 未来可期啊 如果能帮我买到票我也认了
    FunnyToy
        11
    FunnyToy  
    OP
       2017-02-16 15:00:50 +08:00
    @sneezry Google 做 CA 不是为了卖证书吧,上面的盆友们貌似跑偏了
    建起 Root CA 到底是自用还是开放商用,也就是谷歌一句话的事儿。如果 CA 利润大,站着收钱,让谷歌端着情操放弃利润,貌似也不符合商业公司的基因啊。
    sneezry
        12
    sneezry  
       2017-02-16 15:08:53 +08:00
    @FunnyToy 这么说似乎也没错,不过这么多双眼睛看着呢, Google 真的会为了钱而放弃节操么,这样损失了信誉损失得更大,而且如果从这个角度出发, MS 作恶更容易(捂脸
    ZE3kr
        13
    ZE3kr  
       2017-02-16 15:10:32 +08:00
    Amazon 就给 AWS 的用户免费签发多余名通配符证书( Wildcard SAN ),所以 Google 也可以给 GCP 的用户签发证书嘛。 Amazon 的 CA : https://www.amazontrust.com/repository/
    FunnyToy
        14
    FunnyToy  
    OP
       2017-02-16 15:14:19 +08:00
    @Rezark Mozilla 已经因为谷歌收购 Globalsign 两个根没有报备通知而发难了 https://groups.google.com/forum/#!search/google$20root$20ca/mozilla.dev.security.policy/1PDQv0GUW_s/oxDWH07VDgAJ
    Rezark
        15
    Rezark  
       2017-02-16 16:14:57 +08:00
    谷歌也正是通过这种“找茬”其它 CA 漏洞来树立自己正面形象的,像 cnnic 如果谷歌不纰漏误签自己域名的事情,那又有谁会知道呢,作为商业公司不赚钱可以理解,但绝对不会干亏本的买卖。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5347 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 08:11 · PVG 16:11 · LAX 00:11 · JFK 03:11
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.