今天在浏览网站的时候遇到如下报警信息:
The SSL certificate used to load resources from https://xxx.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
于是查询了对应的文档,将其直接goole翻译贴过来:
Chrome计划不再信任Symantec证书
这篇文章是对blink-dev邮件列表已经敲定的计划的更广泛宣布。
更新日期:1/31/18:发布更新以进一步阐明13个月的有效性限制
在2017年7月底,Chrome团队和PKI社区聚在一起,计划减少并最终消除对赛门铁克基础设施的信任,以便在浏览网页时维护用户的安全和隐私。这个计划是在在blink-dev论坛进行重大辩论之后提出的,它给予网站运营商合理得过渡时间来更换新的证书,以及赛门铁克重新设计其基础架构并遵守行业标准。
2017年1月19日,公开发布到mozilla.dev.security.policy新闻组提请注意赛门铁克公司PKI发布的一系列有问题的网站身份验证证书。赛门铁克的PKI业务以Thawte,VeriSign,Equifax,GeoTrust和RapidSSL等不同品牌的一系列证书颁发机构颁发了许多不符合业界开发的CA/浏览器论坛基线要求的证书。在随后的调查中发现,赛门铁克委托几家有能力的组织在没有适当或必要的监督的情况下颁发证书,并且在一段时间内意识到这些组织存在安全缺陷。
这一事件与2015年之前的事件截然不同,这是过去几年持续不断的问题模式之一,导致Chrome团队对赛门铁克基础架构的可信赖性失去信心。
在我们商定的提案分发后,赛门铁克宣布选择DigiCert运行这一独立运营的托管合作伙伴基础架构,以及他们打算将其PKI业务出售给DigiCert,以替代构建新的可信基础架构。本文概述了该过渡的时间表,以及赛门铁克现有客户应采取的措施,以尽量减少对用户的干扰。
网站运营商的信息
从Chrome 66开始,Chrome将取消对2016年6月1日之前发布的Symantec颁发的证书的信任。Chrome 66目前计划于2018年3月15日发布到Chrome Beta用户,并将于2018年4月17日发布到Chrome Stable用户。
如果您是拥有由Symantec CA在2016年6月1日之前颁发的证书的网站运营商,那么在Chrome 66发布之前,您需要用来自Chrome信任的任何证书颁发机构的新证书替换现有证书。
此外,赛门铁克将于2017年12月1日前将公众信任证书的颁发和运营转换为DigiCert基础架构,并且在此日期之后从旧的Symantec基础架构颁发的证书将不会在Chrome中受信任。
2018年10月23日左右,Chrome 70将会发布,这将彻底消除赛门铁克旧基础设施以及它颁发的所有证书的信任。这将影响链接到赛门铁克根目录的任何证书,但以前向Google公开的独立运营和受审计的从属CA颁发的小数字除外。
虽然这些证书需要在Chrome 70之前重新替换,但需要从赛门铁克现有的根证书和中级证书获取证书的网站运营商可能会从旧的基础架构中获得证书。此外,使用赛门铁克的验证信息基础设施将有效期限为13个月。或者,网站运营商可以从Chrome当前信任的任何其他证书颁发机构获得替代证书,这些证书不受此不信任或有效期限制的限制。
参考时间表
以下是与此计划相关的相关日期的时间表,该计划将各种要求和里程碑提炼为网站运营商可操作的一组信息。与往常一样,Chrome的发布日期可能会有所不同,但即将发布的日期可以在此处进行追踪。
日期 | 事件 |
---|---|
现在~2018年3月15日 | 2016年6月1日前发布的使用Symantec发布的TLS服务器证书的网站运营商应替换这些证书。这些证书可以被任何当前信任的CA取代。 |
~2017年10月24日 | Chrome 62发布到Stable,在评估将受Chrome 66不信任影响的证书时,将在DevTools中添加警报。 |
2017年12月1日 | 根据赛门铁克的说法,DigiCert新的“托管合作伙伴基础架构”在这一点上将能够完全发布。此后,赛门铁克旧基础设施颁发的任何证书都将在未来的Chrome更新中停止运行。 从此日起,网站运营商可以从新的托管合作伙伴基础架构获得TLS服务器证书,这些证书将在Chrome 70(〜2018年10月23日)之后继续受信任。 2017年12月1日并未强制要求更改证书,但为网站运营商提供了获得TLS服务器证书的机会,这些证书不会受到Chrome 70对旧基础架构不信任的影响。 |
~2018年3月15日 | Chrome 66已发布到测试版,该版本将在2016年6月1日之前取消对赛门铁克颁发的证书的信任度。截至此日,网站运营商必须使用6月或6月之后颁发的Symantec颁发的TLS服务器证书2016年1月1日或从Chrome 66开始的任何其他可信CA颁发的当前有效证书。 在2016年6月1日之后从赛门铁克旧基础设施获得证书的网站运营商不会受到Chrome 66的影响,但需要通过下面描述的Chrome 70日期获得新证书。 |
~2018年4月17日 | Chrome 66发布到Stable。 |
~2018年9月13日 | Chrome 70发布到Beta版,这将消除旧的基于赛门铁克的基础架构的信任。这不会影响任何证书链接到新的托管合作伙伴基础设施,赛门铁克表示将于2017年12月1日前投入运营。 无论颁发日期如何,只有赛门铁克旧基础设施颁发的TLS服务器证书才会受到这种不信任的影响。 |
~2018年10月23日 | Chrome 70发布到Stable。 |