Chrome 70测试版将在9月13日左右发布
Google Chrome对赛门铁克CA SSL证书最终的不信任很快临近。任何使用了Chrome测试版的人都将在9月13日左右收到Chrome 70更新通知,届时,所有仍在使用老赛门铁克CA SSL证书的网站都将开始收到浏览器的警告。
这会影响所有在2017年12月1日之前签发的赛门铁克证书。这会应用于:
Symantec
Thawte
GeoTrust
RapidSSL
Chrome 70的稳定版将在10月16日左右发布,届时,超过60%的网络将无法访问仍在使用受影响证书之一的网站。我们使用测试版作为我们的截止日期,以让你有一点缓存时间,防止替换证书会耗费一两天的时间。
在赛门铁克与Google达成了协议之后,DigiCert收购了赛门铁克CA品牌。自那以后,DigiCert就一直在致力于为赛门铁克客户处理重新签发的事宜,而且已经取得了很好的成效。
今年4月,当第一批赛门铁克CA SSL证书受到质疑时,很多人担心将会有大量的网站被关闭。这种情况并没有发生,这也是DigiCert员工辛勤工作的一种证明,他们不知疲倦地工作着,替换了数百万受到影响的SSL证书。
4月份的不信任处理了2016年6月1日之前签发的SSL证书。DigiCert提前在12月初开始了重新签发。第二个不信任日期适应于所有余下的赛门铁克CA SSL证书。
此次的不信任将会影响我的SSL证书吗?
考虑这一终极不信任有一个简单的方法。在过去的9个月里,DigiCert,或者你从其购买了证书的SSL服务,重新签发或替换了你的赛门铁克、GeoTrust、Thawte或RapidSSL证书了吗?如果答案是否定的,那么这一不信任将会影响到你。
今年7月,谷歌发布了Chrome的Dev开发版Chrome 70。幸运的是,很少有人使用该版本。测试版拥有更多的用户,但绝大多数人将在10月16日左右受到稳定版本的影响。值得注意的是,谷歌通常都是逐步推出更新,因此更有可能在16日那一周,而不是16日当天。
Mozilla的火狐、苹果的Safari、微软的Edge和IE等其他浏览器,也都将在类似的时间段采取对赛门铁克CA证书不信任的操作。因此,告诉你的访问者使用另一种浏览器是不可取的。
值得指出的是,自从DigiCert收购了赛门铁克CA品牌并开始签发以来,这些赛门铁克证书都是可以放心使用的。DigiCert是公认的数字证书行业中最受尊敬的证书权威之一。DigiCert还调整了签发方式,以补偿那些在重新发行后的几个月内必须更新证书的网站所有者。现在有一个七个月的更新窗口,这便意味着你可以一下子完成重新发行和更新换代工作。
由于CAB论坛对证书有效性的基线要求,此补偿措施只适用于一年期证书。
赛门铁克是如何获得信任的?
简单来说,早在2015年,赛门铁克就因一些微小的签发问题而被召回。2016年,在进行了进一步的调查之后,谷歌发现了其他一些错误签发的证据:赛门铁克对区域管理部门的监管松懈,它将验证外包了给各个区域。
针对此问题存在两大不同的阵营。赛门铁克理所当然地指出,总共有33个错误颁发的测试证书,而且实际上并没有因此而造成任何危害。而谷歌和其他浏览器则认为,赛门铁克的错误签发问题是系统性的,因此,延伸开来,他们再也不能信任赛门铁克CA品牌之前所发布的证书了。
谷歌和赛门铁克在2017年夏天达成了一项协议,即在重建其PKI时,赛门铁克将把证书的签发事宜转交给一个管理式的CA。与此同时,赛门铁克的根将不再受到信任,而这反过来又会不信任赛门铁克的所有证书。这也促使赛门铁克将其CA出售给了DigiCert,回报是近10亿美元的金钱和DigiCert 30%的股权。
从那以后,DigiCert便扩大了其业务规模,并开始为赛门铁克公司签发证书。
如果我的SSL证书是不可信的,那么我需要做什么?
联系你的SSL服务供应商,它们已经建立了系列机制来帮助你替换或更新你的证书。