Google Chrome 66 Beta定于2018年3月15日发布
虽说去年夏季Google和Symantec之间的冲突或多或少已得以解决,但是接下来大家会切身感受到这些决策所带来的负面影响。
DigiCert和Symantec已加紧步伐将客户迁移到DigiCert PKI,但Google Chrome(另加Mozilla Firefox和其它浏览器)取消对现有Symantec SSL证书的信任已迫在眉睫。可以认定本周四的Chrome Beta版就是发布的最后通牒,因为此后,任何在2016年6月1日之前发布的Symantec SSL证书都将对Chrome Beta用户失效。
Chrome 66目前已在Canary(金丝雀)和Dev(开发版)两个渠道发布,也就是说使用这两个Chrome版本的用户,其站点已经受到影响了。若截至2018年3月15日受影响的站点仍未替换他们的证书,Chrome Beta版的用户将会遭受证书失效的尴尬境地。因此,如果近期您的站点在Chrome Canary版本中显示错误,强力建议尽快替换您当前的证书。
这包括所有的Symantec CA品牌(Symantec、GeoTrust、Thawte和RapidSSL都包含在内)。Google Chrome 66 Stable(稳定版)已定于2018年4月17日正式发布。
如何步入了当前的困境
对于Symantec/Google之间的恩怨,我们已做过全面的介绍,但是要快速回顾一下,我们得回溯到2015年。当时Google联系了Symantec,就其在Symantec发布SSL证书方面发现的一些问题进行了初次接触。但真正的爆发点是在2016年, Google发现Symantec已签发的一批测试证书中,存在明显违反CA/B Forum建立的基线要求的行为。
Google称,鉴于错误签发的测试证书和Symantec在2015年出现的问题,应取消对整个Symantec PKI的信任。
坦率地讲,不管涉及到什么,都会牵涉到一定的政治因素。所有的一切,从诸如Symantec签发相关的历史问题的合理担忧,到像CA这样不正常初始响应的小事件,在一定程度上都应考虑在内。
该决策的支持者指出,需给其他CA发送消息,连同Symantec在签发所提及证书以及在响应时所犯的错误。而反对者则指出,事实上并未真正造成任何损害,而且,不信任到底有多大的危害也不可而知,没必要如此赶尽杀绝。
不管怎样,此时双方的争辩也只能停留在学术上了,因为相关计划已经开始实施,而且就目前来看,似乎没有任何回转的趋势。Symantec已经在去年秋季以9.5亿美元以及30%的股权将其证书业务出售给DigiCert,而DigiCert也已从12月1日起开始重新验证和重新签发Symantec证书。
我们将何去何从
尽管DigiCert和Symantec代理商已发送了数百万通知邮件,也创建了全新的渠道,通过该渠道为现有Symantec客户重新签发了他们的证书,但是取消信任的首次硬性期限仍会随Chrome 66的发布而来。
Beta版本会在本周四发布,而稳定版本将于一个月后或4月17日左右正式发行。在2016年6月1日之前签发的任何Symantec SSL证书都将不被信任。换句话说说,证书将会失效,而您的网站将会发布安全警告。
如果这已影响到您的站点,请立即联系您的SSL提供商或咨询上海锐成客服。
Chrome 70将是最终的期限
7月20日或前后,Chrome 70将发行Canary版。此时,所有的Symantec SSL证书将对Canary用户完全失效。Chrome 70定于几个月后即10月16日左右发行稳定版。如果您的SSL证书不是在2017年12月1日或之后发自DigiCert根证书的,将于Chrome 70或之后的版本中失效。而您的网站也将收到一个安全警告。更为明确地说,到10月底也就是Chrome 70处于稳定版本之时,所有的Symantec CA品牌的SSL证书都将不被信任。
这将是Symantec SSL证书被取消信任的最后期限。7月20日之后,Symantec、 GeoTrust、Thawte、RapidSSL和Verisign根证书会正式终止工作。