7 月底，Chrome 團(tuán)隊(duì)與 PKI 社區(qū)共同制定了一項(xiàng)計(jì)劃，希望減少并最終移除對 Symantec 基礎(chǔ)架構(gòu)的信任，此舉旨在確保用戶瀏覽網(wǎng)絡(luò)時的安全和隱私。最終確定之前，這項(xiàng)計(jì)劃在 blink-dev 論壇上進(jìn)行了激烈的討論。它為大家留出了合理的時間來過渡到獨(dú)立運(yùn)營的新 Managed Partner Infrastructure，同時，Symantec 也將更新和重新設(shè)計(jì)其基礎(chǔ)架構(gòu)以符合業(yè)界標(biāo)準(zhǔn)。這篇博文重申了這項(xiàng)計(jì)劃并包括一個時間表，提醒網(wǎng)站運(yùn)營者何時需要獲取新證書。

2017 年 1 月 19 日，mozilla.dev.security.policy 新聞組的一篇公開帖子將大家的目光吸引到 Symantec Corporation 旗下 PKI 發(fā)放的一系列有問題的網(wǎng)站身份驗(yàn)證證書上。Symantec 的 PKI 業(yè)務(wù)部門管理著不同品牌名稱下的一系列證書授權(quán)機(jī)構(gòu)，其中包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL。這個部門已經(jīng)發(fā)放了大量不符合行業(yè)制定的 CA/瀏覽器論壇基本要求的證書。隨后的調(diào)查發(fā)現(xiàn)，Symantec 在不進(jìn)行適當(dāng)或必要監(jiān)督的情況下將證書發(fā)放工作委托給多個組織，并且意識到這些組織存在安全缺陷已有一段時間。

與 2015 年的上一起事故不同，這起事故與過去幾年的一系列問題讓 Chrome 團(tuán)隊(duì)對 Symantec 基礎(chǔ)架構(gòu)以及已經(jīng)或?qū)⒁獜倪@個基礎(chǔ)架構(gòu)發(fā)放的證書的可信度失去信心。

在我們協(xié)商一致的提議公布后，Symantec 已宣布選擇 DigiCert 來運(yùn)行這個獨(dú)立運(yùn)營的 Managed Partner Infrastructure，也表露了將 PKI 業(yè)務(wù)出售給 DigiCert 的意向，希望構(gòu)建一個全新的可信基礎(chǔ)架構(gòu)。這篇博文概括介紹了過渡時間表以及現(xiàn)有 Symantec 客戶應(yīng)采取的措施，從而最大程度減小對其用戶的影響。

網(wǎng)站運(yùn)營者需要了解的信息

從 Chrome 66 開始，Chrome 將移除對 Symantec 在 2016 年 6 月 1 日前所發(fā)放證書的信任。Chrome 66 目前計(jì)劃于 2018 年 3 月 15 日向 Chrome Beta 用戶發(fā)布，于 2018 年 4 月 17 日左右向 Chrome Stable 用戶發(fā)布。

如果您是一名網(wǎng)站運(yùn)營者并且具有某個 Symantec 證書授權(quán)機(jī)構(gòu)在 2016 年 6 月 1 日前發(fā)放的證書，則在 Chrome 66 發(fā)布前，您需要使用 Chrome 信任的任何證書授權(quán)機(jī)構(gòu)發(fā)放的新證書替換現(xiàn)有證書。

此外，在 2017 年 12 月 1 日之前，Symantec 會將公共可信證書的發(fā)放和管理工作過渡到 DigiCert 基礎(chǔ)架構(gòu)，在此之后從舊的 Symantec 基礎(chǔ)架構(gòu)發(fā)放的證書在 Chrome 中將不再受信任。

Chrome 70 大約將在 2018 年 10 月 23 日所在的那一周發(fā)布，此版本將完全移除對 Symantec 舊基礎(chǔ)架構(gòu)及其已經(jīng)發(fā)放的所有證書的信任。這將影響來自 Symantec 根證書的所有證書，但之前已經(jīng)向 Google 披露的獨(dú)立運(yùn)營和審計(jì)的附屬證書授權(quán)機(jī)構(gòu)發(fā)放的少量證書不受影響。

需要從 Symantec 現(xiàn)有根證書和中間證書獲取證書的網(wǎng)站運(yùn)營者在 2017 年 12 月 1 日前仍可以從舊基礎(chǔ)架構(gòu)獲取，但是，需要在 Chrome 70 之前重新替換這些證書。此外，從 Symantec 基礎(chǔ)架構(gòu)發(fā)放的證書的有效期將限制為 13 個月。網(wǎng)站運(yùn)營者也可以從 Chrome 當(dāng)前信任的任何其他證書授權(quán)機(jī)構(gòu)獲取替代證書，這些證書不受取消信任或有效期限的影響。

參考時間表

下面是此計(jì)劃一些相關(guān)日期的時間表，其中列出了各項(xiàng)要求和里程碑，指導(dǎo)網(wǎng)站運(yùn)營者采取行動。和往常一樣，Chrome 發(fā)布日期可能前后相差幾天，不過，大家可以在這里跟蹤即將到來的發(fā)布日期：

https://www.chromium.org/developers/calendar

現(xiàn)在至 2018 年 3 月 15 日前后

使用 Symantec 在 2016 年 6 月 1 日前發(fā)放的 TLS 服務(wù)器證書的網(wǎng)站運(yùn)營者需要替換這些證書?？梢允褂卯?dāng)前任何受信任的證書授權(quán)機(jī)構(gòu)發(fā)放的證書替換這些證書。

2017 年 10 月 24 日前后

Chrome 62 發(fā)布到 Stable 渠道，在評估受 Chrome 66 取消信任影響的證書時，將在 DevTools 中添加提醒。

2017 年 12 月 1 日

根據(jù) Symantec 的說法，DigiCert 的新 Managed Partner Infrastructure 屆時將具備完全發(fā)放能力。Symantec 的舊基礎(chǔ)架構(gòu)在此之后發(fā)放的任何證書在未來的 Chrome 更新中將停止工作。從這一天開始，網(wǎng)站運(yùn)營者可以從新的 Managed Partner Infrastructure 獲取 TLS 服務(wù)器證書，這個基礎(chǔ)架構(gòu)在 Chrome 70（2018 年 10 月 23 日前后發(fā)布）后將繼續(xù)受到信任。2017 年 12 月 1 日不會強(qiáng)制任何證書變更，只是表示網(wǎng)站運(yùn)營者可以從這一天開始獲取不受 Chrome 70 取消信任舊基礎(chǔ)架構(gòu)影響的 TLS 服務(wù)器證書。

2018 年 3 月 15 日前后

Chrome 66 發(fā)布到 Beta 渠道，此版本將移除對有效起始日期在 2016 年 6 月 1 日前的 Symantec 所發(fā)放證書的信任。從這一天開始，網(wǎng)站運(yùn)營者必須使用 Symantec 在不晚于 2016 年 6 月 1 日發(fā)放的 TLS 服務(wù)器證書，或者截至 Chrome 66 版本時任何其他受信任的證書授權(quán)機(jī)構(gòu)發(fā)放的有效證書。在 2016 年 6 月 1 日后從 Symantec 的舊基礎(chǔ)架構(gòu)獲取證書的網(wǎng)站運(yùn)營者將不受 Chrome 66 的影響，但是需要在下面介紹的 Chrome 70 發(fā)布日期前獲取新證書。  

2018 年 4 月 17 日前后

Chrome 66 發(fā)布到 Stable 渠道。

2018 年 9 月 13 日前后

Chrome 70 發(fā)布到 Beta 渠道，此版本將移除對舊 Symantec 來源的基礎(chǔ)架構(gòu)的信任。這不會影響來自新 Managed Partner Infrastructure 的任何證書，Symantec 表示此基礎(chǔ)架構(gòu)將于 2017 年 12 月 1 日投入使用。只有 Symantec 的舊基礎(chǔ)架構(gòu)發(fā)放的 TLS 服務(wù)器證書受取消信任的影響，無論這些證書的發(fā)放日期如何，屆時都將無法使用。

2018 年 10 月 23 日前后

Chrome 70 發(fā)布到 Stable 渠道。