今年3月，谷歌和火狐调查发现赛门铁克未经授权错误签发3万多张SSL证书的严重问题。7月28日，谷歌正式宣布不再信任赛门铁克（Symantec）旗下所有SSL证书，GeoTrust、Thawte和Rapid SSL等子品牌也受到同样惩罚。赛门铁克已同意该提案，外媒报道称其已经在考虑出售CA业务。

事件经过

2017年3月份，谷歌和火狐的调查人员发现赛门铁克打破了行业规则，误签发127张SSL证书，随着调查进一步开展，发现误签发的证书数量达到惊人的3万多张。 

这个数字震撼了业界专家，因为赛门铁克是市场上最大的CA之一，很少有人敢于做出反应。谷歌是第一个对赛门铁克SSL发行程序表示不满的，并宣布有意在Chrome中逐步删除对Symantec证书的支持。 

谷歌指出，赛门铁克未能正确验证域名，对于申请特殊域名SSL证书的申请者身份审核草草了事。此外，赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核，也没有对这一缺陷进行改进。因此，谷歌认为赛门铁克没有足够的监督能力。 

这已经不是谷歌第一次警告赛门铁克错误签发证书的问题： 

2015年9月和10月，Google发现赛门铁克旗下的Root CA未经同意签发了众多域名的数千个证书，其中包括Google旗下的域名和不存在的域名。Google认为该Root CA签发的证书可能被用于拦截、破坏或冒充Google产品或用户的安全通信，且赛门铁克在知道以上威胁的情况下也不愿详细说明签发这些证书的用途。

 2015年12月，Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的"Class 3 Public Primary CA"根证书。

最终结果

起初，赛门铁克否认所有不合规行为，称之为“夸张和误导”的结果。尽管如此，赛门铁克已经预见到不好的结果，最终以谈判达成共识。7月28日，谷歌宣布了赛门铁克同意的提案，将执行时间从原本计划的今年10月份（Chrome 62），延期至明年4月份(Chrome 66)，分阶段实施并最终完全移除对赛门铁克SSL证书的信任。 

第一阶段：赛门铁克变成子CA（2017年12月1日）

2017年12月1日-赛门铁克与另一个SSL证书颁发机构合作，以赛门铁克的名称颁发证书。赛门铁克将在技术上成为一家子CA（Sub CA）。 

谷歌和其他浏览器厂商希望将SSL签发权转移到另一个CA的基础设施上，防止赛门铁克破坏规则，为不应该签发证书的站点颁发证书。与此同时，赛门铁克可以默默地准备一个新的基础设施构建其新的SSL业务。然而，该公司已经开始考虑出售CA业务。

第二阶段：Chrome 66不信任赛门铁克部分证书（2018年4月）

谷歌Chrome 66发布时（预计2018年4月），将开始第二阶段的惩罚。从Chrome 66版本开始，Chrome将不信任2016年6月1日之前签发的所有赛门铁克SSL证书。

第三阶段：Chrome 70完全不信任赛门铁克所有证书（2018年10月）

谷歌Chrome 70发布时（预计2018年10月），Chrome将不信任2017年12月1日之前签发的所有赛门铁克SSL证书。

谷歌Chrome将删除赛门铁克当前所有根证书，赛门铁克收购的其他CA，如GeoTrust，Thawte和Rapid SSL，都将遭受同样的惩罚，FirFox、Safari等浏览器厂商可能不久后也会跟进。在应用程序或网站上使用了Symantec SSL证书及其旗下GeoTrust，Thawte和Rapid SSL证书的网站管理者，应尽快替换其他全球信任的SSL证书。

原文来源：bleepingcomputer