目前,Chrome使用每个操作系统的证书根存储部分。谷歌计划从现在起管理自己的“批准”证书列表,类似于Firefox。

  谷歌宣布计划为Chrome运行自己的证书根程序/存储,这是该公司网络浏览器程序架构的一个重大转变。



  “根程序”或“根存储”是一个根证书列表,操作系统和应用程序在安装程序期间使用这些证书来验证软件程序的标识。

  像Chrome这样的浏览器使用根存储来检查HTTPS连接的有效性。

  他们通过查看网站的SSL证书并检查用于生成SSL证书的根证书是否包含在本地根程序/存储中。


  CHROME将从操作系统根存储区转移到自己的存储区


  自2009年底发布以来,Chrome被配置为使用底层平台的“根存储”。例如,Windows上的Chrome根据Microsoft Trusted根程序(Windows附带的根存储)检查站点的SSL证书;macOS上的Chrome依赖于Apple根证书程序;等等。

  目前,googlemaker已经发布了证书颁发机构(ca)的规则,即为网站颁发SSL证书的公司。

  这家浏览器制造商敦促CAs阅读这些规则,并申请加入其新的Chrome根程序白名单,以确保Chrome用户在时机成熟时能够无缝过渡。

  Chrome的市场份额在60%到65%之间,是大多数用户接入互联网的门户,当过渡时刻到来时,大多数CA很可能会把他们的事务处理得井井有条。


  类似于FIREFOX


  这种将根存储打包到浏览器中而不是使用底层操作系统提供的根存储的方法并不新鲜,这也是Mozilla自Firefox发布以来一直在做的事情。

  这样做的原因很多,首先是Chrome的安全团队能够更快地干预和禁止行为不端的CA,以及谷歌希望在所有平台上提供一致的体验和共同的实现。

  然而,这一变化并没有受到热烈欢迎。在企业环境中,这一举措可能会引起摩擦,有些公司喜欢关注设备的根存储中允许哪些证书。

  “这将为系统管理员带来更多的工作,”罗马尼亚Iasi一家大型软件公司的IT管理员Bogdan Popovici说,“我们要管理另一个根存储列表,要设置新的组策略,以及要遵循的新更改日志。我们已经很忙了。”

  “这不是进步!Reddit用户alanshutko说:“我需要另一个根存储来维护,就像我需要在我的头上开个洞一样。这只会让拥有自己CA的公司更难保持一切同步。”