關(guān)于 Chrome 取消信任 Symantec 證書的計劃

發(fā)布時間:2017-09-25 14:24:00   發(fā)布者:小擎    文章來源: 谷歌開發(fā)者

7 月底,Chrome 團(tuán)隊(duì)與 PKI 社區(qū)共同制定了一項(xiàng)計劃,希望減少并最終移除對 Symantec 基礎(chǔ)架構(gòu)的信任,此舉旨在確保用戶瀏覽網(wǎng)絡(luò)時的安全和隱私。最終確定之前,這項(xiàng)計劃在 blink-dev 論壇上進(jìn)行了激烈的討論。它為大家留出了合理的時間來過渡到獨(dú)立運(yùn)營的新 Managed Partner Infrastructure,同時,Symantec 也將更新和重新設(shè)計其基礎(chǔ)架構(gòu)以符合業(yè)界標(biāo)準(zhǔn)。這篇博文重申了這項(xiàng)計劃并包括一個時間表,提醒網(wǎng)站運(yùn)營者何時需要獲取新證書。

2017 年 1 月 19 日,mozilla.dev.security.policy 新聞組的一篇公開帖子將大家的目光吸引到 Symantec Corporation 旗下 PKI 發(fā)放的一系列有問題的網(wǎng)站身份驗(yàn)證證書上。Symantec 的 PKI 業(yè)務(wù)部門管理著不同品牌名稱下的一系列證書授權(quán)機(jī)構(gòu),其中包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL。這個部門已經(jīng)發(fā)放了大量不符合行業(yè)制定的 CA/瀏覽器論壇基本要求的證書。隨后的調(diào)查發(fā)現(xiàn),Symantec 在不進(jìn)行適當(dāng)或必要監(jiān)督的情況下將證書發(fā)放工作委托給多個組織,并且意識到這些組織存在安全缺陷已有一段時間。

與 2015 年的上一起事故不同,這起事故與過去幾年的一系列問題讓 Chrome 團(tuán)隊(duì)對 Symantec 基礎(chǔ)架構(gòu)以及已經(jīng)或?qū)⒁獜倪@個基礎(chǔ)架構(gòu)發(fā)放的證書的可信度失去信心。

在我們協(xié)商一致的提議公布后,Symantec 已宣布選擇 DigiCert 來運(yùn)行這個獨(dú)立運(yùn)營的 Managed Partner Infrastructure,也表露了將 PKI 業(yè)務(wù)出售給 DigiCert 的意向,希望構(gòu)建一個全新的可信基礎(chǔ)架構(gòu)。這篇博文概括介紹了過渡時間表以及現(xiàn)有 Symantec 客戶應(yīng)采取的措施,從而最大程度減小對其用戶的影響。

網(wǎng)站運(yùn)營者需要了解的信息

從 Chrome 66 開始,Chrome 將移除對 Symantec 在 2016 年 6 月 1 日前所發(fā)放證書的信任。Chrome 66 目前計劃于 2018 年 3 月 15 日向 Chrome Beta 用戶發(fā)布,于 2018 年 4 月 17 日左右向 Chrome Stable 用戶發(fā)布。

如果您是一名網(wǎng)站運(yùn)營者并且具有某個 Symantec 證書授權(quán)機(jī)構(gòu)在 2016 年 6 月 1 日前發(fā)放的證書,則在 Chrome 66 發(fā)布前,您需要使用 Chrome 信任的任何證書授權(quán)機(jī)構(gòu)發(fā)放的新證書替換現(xiàn)有證書。

此外,在 2017 年 12 月 1 日之前,Symantec 會將公共可信證書的發(fā)放和管理工作過渡到 DigiCert 基礎(chǔ)架構(gòu),在此之后從舊的 Symantec 基礎(chǔ)架構(gòu)發(fā)放的證書在 Chrome 中將不再受信任。

Chrome 70 大約將在 2018 年 10 月 23 日所在的那一周發(fā)布,此版本將完全移除對 Symantec 舊基礎(chǔ)架構(gòu)及其已經(jīng)發(fā)放的所有證書的信任。這將影響來自 Symantec 根證書的所有證書,但之前已經(jīng)向 Google 披露的獨(dú)立運(yùn)營和審計的附屬證書授權(quán)機(jī)構(gòu)發(fā)放的少量證書不受影響。

需要從 Symantec 現(xiàn)有根證書和中間證書獲取證書的網(wǎng)站運(yùn)營者在 2017 年 12 月 1 日前仍可以從舊基礎(chǔ)架構(gòu)獲取,但是,需要在 Chrome 70 之前重新替換這些證書。此外,從 Symantec 基礎(chǔ)架構(gòu)發(fā)放的證書的有效期將限制為 13 個月。網(wǎng)站運(yùn)營者也可以從 Chrome 當(dāng)前信任的任何其他證書授權(quán)機(jī)構(gòu)獲取替代證書,這些證書不受取消信任或有效期限的影響。

參考時間表

下面是此計劃一些相關(guān)日期的時間表,其中列出了各項(xiàng)要求和里程碑,指導(dǎo)網(wǎng)站運(yùn)營者采取行動。和往常一樣,Chrome 發(fā)布日期可能前后相差幾天,不過,大家可以在這里跟蹤即將到來的發(fā)布日期:

https://www.chromium.org/developers/calendar

現(xiàn)在至 2018 年 3 月 15 日前后

使用 Symantec 在 2016 年 6 月 1 日前發(fā)放的 TLS 服務(wù)器證書的網(wǎng)站運(yùn)營者需要替換這些證書。可以使用當(dāng)前任何受信任的證書授權(quán)機(jī)構(gòu)發(fā)放的證書替換這些證書。

2017 年 10 月 24 日前后

Chrome 62 發(fā)布到 Stable 渠道,在評估受 Chrome 66 取消信任影響的證書時,將在 DevTools 中添加提醒。

2017 年 12 月 1 日

根據(jù) Symantec 的說法,DigiCert 的新 Managed Partner Infrastructure 屆時將具備完全發(fā)放能力。Symantec 的舊基礎(chǔ)架構(gòu)在此之后發(fā)放的任何證書在未來的 Chrome 更新中將停止工作。從這一天開始,網(wǎng)站運(yùn)營者可以從新的 Managed Partner Infrastructure 獲取 TLS 服務(wù)器證書,這個基礎(chǔ)架構(gòu)在 Chrome 70(2018 年 10 月 23 日前后發(fā)布)后將繼續(xù)受到信任。2017 年 12 月 1 日不會強(qiáng)制任何證書變更,只是表示網(wǎng)站運(yùn)營者可以從這一天開始獲取不受 Chrome 70 取消信任舊基礎(chǔ)架構(gòu)影響的 TLS 服務(wù)器證書。

2018 年 3 月 15 日前后

Chrome 66 發(fā)布到 Beta 渠道,此版本將移除對有效起始日期在 2016 年 6 月 1 日前的 Symantec 所發(fā)放證書的信任。從這一天開始,網(wǎng)站運(yùn)營者必須使用 Symantec 在不晚于 2016 年 6 月 1 日發(fā)放的 TLS 服務(wù)器證書,或者截至 Chrome 66 版本時任何其他受信任的證書授權(quán)機(jī)構(gòu)發(fā)放的有效證書。在 2016 年 6 月 1 日后從 Symantec 的舊基礎(chǔ)架構(gòu)獲取證書的網(wǎng)站運(yùn)營者將不受 Chrome 66 的影響,但是需要在下面介紹的 Chrome 70 發(fā)布日期前獲取新證書。  

2018 年 4 月 17 日前后

Chrome 66 發(fā)布到 Stable 渠道。

2018 年 9 月 13 日前后

Chrome 70 發(fā)布到 Beta 渠道,此版本將移除對舊 Symantec 來源的基礎(chǔ)架構(gòu)的信任。這不會影響來自新 Managed Partner Infrastructure 的任何證書,Symantec 表示此基礎(chǔ)架構(gòu)將于 2017 年 12 月 1 日投入使用。只有 Symantec 的舊基礎(chǔ)架構(gòu)發(fā)放的 TLS 服務(wù)器證書受取消信任的影響,無論這些證書的發(fā)放日期如何,屆時都將無法使用。

2018 年 10 月 23 日前后

Chrome 70 發(fā)布到 Stable 渠道。



推薦了解
Google推廣
Google推廣介紹

google是全球最大的搜索引擎,用戶覆蓋全球70%以上的國家,通過谷歌的關(guān)鍵字廣告,可以輕松將企業(yè)產(chǎn)品向全球用戶推廣,google推廣是企業(yè)進(jìn)行海外營銷、外貿(mào)推廣的好幫手。

QQ咨詢
在線咨詢
咨詢熱線
關(guān)注微信
TOP