这是一个创建于 2625 天前的主题,其中的信息可能已经有所发展或是发生改变。
Google 1 月 26 日宣布,为了能够更快速地处理 Google 产品的 SSL / TLS 证书需求,谷歌将建立自己的 root CA , Google Trust Services 将是代表 Google 和 Alphabet 来操作这些证书颁发机构的实体。将根证书嵌入产品中并等待这些版本的产品被广泛部署还需要一定的时间,因此谷歌收购了 Globalsign 的两个根( GlobalSign R2 和 R4 )。 https://security.googleblog.com/2017/01/the-foundation-of-more-secure-web.html
15 条回复 • 2017-02-16 16:14:57 +08:00
 |
1
FunnyToy OP Google 即做浏览器又做 CA ,这样真的可以吗? Chrome 浏览器覆盖率那么高,对所有 CA 都掌握生杀大权呢~
|
 |
2
liudanning 2017-02-16 10:23:36 +08:00 via iPhone
@FunnyToy 只能“不作恶”了
|
 |
3
namebus 2017-02-16 10:42:22 +08:00  2
Google 原来其实就是个 CA ,早已经过了 WebTrust 审计,只不过 Root 是使用的 GeoTrust ,但只是给自己签发证书。
Google Trust Services 应该也是服务于自己。 |
 |
4
Rezark 2017-02-16 11:02:42 +08:00
看着其它 CA 都在大口吃肉,谷歌也坐不住了,利用自己 chrome 浏览器的用户量制定规则,通过制裁其它 CA 来实现自己 root CA 的市场占有率,实在很难想象自己“作恶”后会不会自己制裁自己。
|
 |
5
wdlth 2017-02-16 12:44:44 +08:00
看来铁总要发布自己的 12306 浏览器……
|
 |
6
sneezry 2017-02-16 13:34:01 +08:00 via iPhone
Google 做 CA 不是为了卖证书吧,上面的盆友们貌似跑偏了
|
 |
7
ScotGu 2017-02-16 13:38:22 +08:00
>@wdlth 看来铁总要发布自己的 12306 浏览器……
内置:在线选座,自动抢票的功能么? 那我咬咬牙就用了! |
 |
8
winterbells 2017-02-16 14:00:08 +08:00 via Android
以后在谷歌注册域名会送 ssl 证书吗=。=
|
 |
9
lyragosa 2017-02-16 14:04:53 +08:00
说起来 chrome 以前有个 ssl 透明度审核,现在好似也没了……
|
|
11
FunnyToy OP @sneezry Google 做 CA 不是为了卖证书吧,上面的盆友们貌似跑偏了
建起 Root CA 到底是自用还是开放商用,也就是谷歌一句话的事儿。如果 CA 利润大,站着收钱,让谷歌端着情操放弃利润,貌似也不符合商业公司的基因啊。 |
|
12
sneezry 2017-02-16 15:08:53 +08:00
@FunnyToy 这么说似乎也没错,不过这么多双眼睛看着呢, Google 真的会为了钱而放弃节操么,这样损失了信誉损失得更大,而且如果从这个角度出发, MS 作恶更容易(捂脸
|
 |
13
ZE3kr 2017-02-16 15:10:32 +08:00
Amazon 就给 AWS 的用户免费签发多余名通配符证书( Wildcard SAN ),所以 Google 也可以给 GCP 的用户签发证书嘛。 Amazon 的 CA : https://www.amazontrust.com/repository/
|
|
14
FunnyToy OP @Rezark Mozilla 已经因为谷歌收购 Globalsign 两个根没有报备通知而发难了 https://groups.google.com/forum/#!search/google$20root$20ca/mozilla.dev.security.policy/1PDQv0GUW_s/oxDWH07VDgAJ
|
|
15
Rezark 2017-02-16 16:14:57 +08:00
谷歌也正是通过这种“找茬”其它 CA 漏洞来树立自己正面形象的,像 cnnic 如果谷歌不纰漏误签自己域名的事情,那又有谁会知道呢,作为商业公司不赚钱可以理解,但绝对不会干亏本的买卖。
|
Select Language