怕背锅，谷歌手撕市值200亿互联网安全大佬

此文授权转载自微信公众号：差评（ID：chaping321）今天突然有个新闻火了，大概的意思是，Google translate的手机版App可以在天朝流畅使用，不必去科学上网了~▼来自网易的新闻关于这件事，各大媒体众说纷纭，差评君想说，都是幻觉，下个版本的更新日志没准会变成“我们修复了一个可能导致中国用户正常访问的Bug ”。

此文授权转载自微信公众号：差评（ID：chaping321）

今天突然有个新闻火了，大概的意思是，Google translate的手机版App可以在天朝流畅使用，不必去科学上网了~

▼来自网易的新闻

关于这件事，各大媒体众说纷纭，差评君想说，都是幻觉，下个版本的更新日志没准会变成“我们修复了一个可能导致中国用户正常访问的Bug ”。。。

除去这个事，最近Google还发生了另一件事，不知道各位差友有没有关注？

▼Google宣布逐步降低对赛门铁克所签发证书的信任

Google大家都了解，但肯定会有差友会问，赛门铁克是什么鬼？

赛门铁克是一家世界领先的信息安全解决方案提供商，主要为个人，企业提供互联网安全解决方案。

▼赛门铁克的Logo

如果还是不理解的话，可以把它想象成天朝的360，不过他比360在世界领域内出名了很多~

▼市值近200亿

赛门铁克在大众眼里，最出名的应该是杀毒软件了，就是大名鼎鼎的诺顿~

▼诺顿

总之，就是一个叼到不行的互联网信息安全公司，结果，现在Google突然蹦出来说他们家证书不安全。。。

那么问题来了，啥是证书？

互联网时代，大家都通过网络联系，谁都不认识谁，为了确保安全，要验证一下对方的身份，才敢安心的跟他交流信息不是？

举个例子，A想去B银行的网银网站去做一笔交易，但是A没法知道他现在登陆的网站到底是不是真正的B网站，万一是个钓鱼网站，那就惨了。。。

为了解决这种尴尬的境情况，CA证书诞生了~

▼百度的CA证书

CA证书是个解释起来很麻烦的东西，差评君下面举个栗子~

A是一名黑帮成员，奉命去另一个黑帮 B进行交易，见面之后，B需要验证一下A到底是不是A本人，万一是警察的卧底就操蛋了啊！

这时候，就需要一个见多识广的江湖大佬C站出来了，C见过各方面势力，也很有名望，大家都心服口服，A出发之前，先会去找C拿个信物，同时C会把信物是什么告诉给B，A和B见面之后，A拿出C给的信物，B就知道这个A是真正的接头人，然后开始交易了~

上面这个故事里，A就是网站，B是使用网站的用户，C是颁发证书的三方机构，那个信物就是CA证书！

▼CA验证通过之后，浏览器会显示一个小绿色锁头，表示网页安全

赛门铁克作为世界知名的信息安全大佬，非常有公信力，所以就自己开了一家CA签发机构，专门给网站签发证书，用户看到了网站有大佬签字证明安全的证书，自然是觉得稳稳的！

这些证书是分等级的，有些是免费的，有些是商务证书，除了显示绿色小锁头，还会显示网站注册公司的名字，专防钓鱼网站。

▼诺顿杀毒软件的官网前显示注册公司为“赛门铁克”

像赛门铁克这种大佬，是有资格颁发这类证书的，不过，不是免费滴，总要给大佬些俸禄嘛~

而且这些证书卖的真心不便宜，安全级别最高的证书，要10W人民币一年。。。

▼有兴趣的差友可以点开看大图

反正赛门铁克老大哥就是凭着自己的公信力，卖卖证书赚点钱。。。

这时候就有人会问了，要是有大佬为了钱，乱发证书咋办？？？

这些厂商就在一起搞了个独立审查机制，所有CA证书颁发之前，都要拿出来给他家透明审查，大家都觉得没问题就能发。

这次Google突然蹦出来喷赛门铁克“你们家证书不安全，我准备把你们家颁发的证书的网站全都标记成不安全！”，就是因为Google发现赛门铁克未经过ICANN和一些独立审核机构同意，私自签发CA证书，而且还特么发了3W份！

▼ICANN

ICANN是一个非营利性的国际组织，负责在全球范围内对互联网唯一标识符系统及其安全稳定的运营进行协调，包括互联网协议（IP）地址的空间分配、协议标识符的指派、通用顶级域名（gTLD）以及国家和地区顶级域名（ccTLD）系统的管理、以及根服务器系统的管理。

如果这3W份证书里有一些被被有用心的人利用了，去做些钓鱼网什么的，那用户妥妥的中招。。。

讲道理，这件事跟 Google似乎没有卵关系，为什么Google要蹦出来撕逼呢？

因为Google怕背锅！！！

众所周知，Google旗下的Chrome浏览器是现在PC端使用率最高的浏览器，毕竟Win自带的浏览器做的太差。。。

▼Chrome

大家上网的时候呢，CA证书的验证过程是由浏览器完成的，最后提现给用户，就像上面提到的网址前面有个小绿锁头，告诉大家这个网站安全，是可以信任的。

这里存在一个漏洞，浏览器是只认证书的，只要从CA颁发机构那里验证了准确性，就会给用户提现“这个网页是安全的 ”的提示。

也就是说，如果CA颁发机构瞎发证书给一些不正经的网站，浏览器是认不出来的，还会傻乎乎的给用户“网页安全 ”的提示。。。

这他妈就尴尬了，万一出了事算谁的？

普通用户也不懂是么是CA啊！浏览器显示安全就会去用，最后用户全怪罪到浏览器头上，Google岂不是躺着中枪。。。

所以，Google才会过来撕逼赛门铁克，而且撕的很强势，因为Google说的是“逐步不信任赛门铁克颁发的所有证书 ”。

▼不信任的结果是这样的，网站会被标记为“不安全”

这个波及的范围是非常大的，这跟CA证书的颁发机制有关，这个机制是：假设C证书信任A和B；然后A信任A1和A2；B信任B1和B2。只要C是可信的，那么下面的分支就全是可信的！

作为一个巨头，赛门铁克的发出去的证书和证书分支会有多少，可想而知，赛门铁克的证书被封杀，是灾难性的。

其实这件事，对于赛门铁克来说冲击也就那么回事，毕竟家大业大业务那么多，这一小块部分洒洒水而已。

最惨的是给赛门铁克交了保护费买证书的那些网站运营者了，一年10W块保护费交着，还不被承认，这他妈招谁惹谁了？。。。

“Don't be evil”