一周之后,谷歌将发布Chrome 70,届时所有剩余的赛门铁克SSL证书都将遭到不信任。

对于那些使用了在2017年12月1日之前签发的赛门铁克SSL证书的人来说,这周是他们替换其证书的最后期限。如果不这么做就会导致你的网站崩溃。下周,谷歌将推出Chrome 70,届时它们将不再信任所有剩余的赛门铁克CA品牌的SSL证书。这只针对于那些正在使用从赛门铁克的根中签发出来的SSL证书的网站。如果你在2017年12月1日之后重新签发或替换了你的SSL证书,这并不适用于你。

如果你感觉我们之前报道过这一话题——是的,我们曾经报道过,十分详尽地。但今天早上,当我来到办公室的时候,我的老板拉着一辆大马车,上面盖着一条被子,他对我说:“我需要你再报道一次这一话题,即使不久它就将失去意义。”

因此,我就将再次谈论这一话题。发生了什么情况,我们是如何走到目前这个境地的,以及如果这一改变影响到了你,你将需要做什么,以下是详细介绍。

让我们开始吧…

为什么需要替换赛门铁克SSL证书?

休息一下,让我来告诉你证书机构和浏览器的故事吧,以及两家公司是如何几乎致使网络崩溃的。好吧,这可能有点夸张,但你可以多次想象这一事件可能会带来的后果。

早在2015年,在签发了一些坏的测试证书之后,赛门铁克与谷歌发生了冲突。我们倾向于淡化第一个错误的严重性,但它是相当重要的。谷歌发现,赛门铁克一直在签发由谷歌、Opera和其他三大组织所拥有的未经授权的SSL证书域名。这一丑闻使得赛门铁克开除了许多雇员,同时谷歌要求赛门铁克开始添加它之前签发到证书透明日志中的所有证书。当时,只有EV证书被要求进行记录。

一年以后,赛门铁克又因错误签发了一批新的测试证书而陷入了麻烦之中。尽管赛门铁克声称只有33个证书,但谷歌估计数量大概有3000多个。当谷歌进行进一步的调查时,它发现,在一些地区也存在监管验证松懈的情况。

在大学体育运动中,NCAA(美国大学生体育协会)可以在一个项目中受到的最糟糕的指控是失去了对机构的控制。这基本上就是谷歌在2016年第二次错误签发后所宣称的。

现在,这就是产生分歧的时候。从浏览器的角度来看(不只是谷歌,还包括Mozilla、Apple和Microsoft)这些错误损害了赛门铁克所有PKI的可信度。知道在签发所需的验证方面存在监管松懈的情况,赛门铁克的SSL证书又如何能够受到信任呢。按照这样的逻辑,赛门铁克必须被列入不受信名单。

另一个阵营,在很大程度上与商业CA行业的观点一致,认为这一事件对不信任和对客户和最终用户的潜在影响没有太大的问题。一般的网站所有者不关注数字证书行业的发展。由于其广受欢迎的诺顿杀毒产品,赛门铁克是少数几个拥有跨界品牌认知度的品牌之一。在SSL/TLS行业之外,赛门铁克享有良好的声誉,这构成了其市场份额的一部分。

客户不应该因为选择了赛门铁克而受到惩罚,尤其是考虑到他们一开始就对这些问题没有任何概念。尽管谷歌试图延长置换截止时间,但这仍然是事实——赛门铁克的客户受到了惩罚。

DigiCert挽救了局面

谷歌和赛门铁克的原计划是,在赛门铁克可以重建其PKI之前,要求其将签发事宜移交给一个托管式的CA。然而,这从来都不是一个站得住脚的解决方案。幸运的是,2017年秋天,DigiCert挺身而出,收购了赛门铁克CA。

从长远来看,这可能是最好的结果了。

不过,还是值得指出的是,这是怎样的一项任务。DigiCert不仅购买了商标和品牌权,还收购了人才和基础设施。然后,它不得不匆忙整合新员工,整合各种流程和系统,并扩大其业务的各个方面——支持、账户管理、销售——将赛门铁克的客户群与自己的结合起来。

所有这些都需要在12月初完成,这样它就可以在谷歌的截止日期之前重新签发数百万(从字面上来说是数百万)的证书。

这是一项十分艰巨的任务,除了一两个例子之外——离群值——互联网还没有崩溃。

所以,向DigiCert致敬。

赛门铁克CA品牌的哪些SSL证书将会受到不信任?

好了,让我们来看看事实真相。这一不信任事件最后不仅影响了赛门铁克的SSL证书,它还影响了赛门铁克的子公司品牌。

  • 赛门铁克

  • GeoTrust

  • Thawte

  • RapidSSL

这是对赛门铁克系列证书最后的不信任,因此任何从这些CA的根中签发出来的SSL证书都将被打破。以下是判断这是否会影响你的最好的方法:你的SSL证书是在2017年12月1日之后签发的吗?

自去年12月以来,DigiCert就一直在为赛门铁克及其子公司从自己的根(DigiCert的根)中签发它的子品牌。因此,只要你的赛门铁克CA品牌的SSL证书是在2017年12月1日之后签发或重新签发的,你就是安全的。

以下是具体的检查方法:不管你使用的是什么浏览器,点击浏览器地址栏上的挂锁图标,导航到证书详细信息。

或者,如果你愿意,我们有一个工具可以帮你进行检查。

如果你使用的是在2017年12月1日之前签发的赛门铁克CA品牌SSL证书,而且你还没有重新签发或替换它,那么你还有一周补救的时间,否则你的网站就会崩溃。

当SSL证书不被信任时,会发生什么情况?

如果没有公共密钥基础设施(PKI)方面的基本知识,这是很难解释的。每个计算机系统都有一个根存储。该存储包含了一组可信的CA根证书。当CA颁发SSL证书时,它会用它的一个私钥来标记它。如果该数字签名可以追溯到系统信任存储区中的一个根,那么这个证书就会受到信任。

谷歌和其他浏览器所采取的不信任赛门铁克CA品牌的具体做法是,将它们的根从各种根程序中移除,因此也移除了存储的根。现在,当一个客户端接收到了SSL证书,而该证书应该被链接回一个已被删除的赛门铁克CA品牌的根时,它将无法将其追溯到其信任存储区中的一个根,因而便会发布关于该网站的浏览器警告信息。

在所有这些交易中,最大的认识错误之一是谷歌的根程序。显而易见的假设是,Google Chrome会使用Google根程序,但事实并非如此。虽然Mozilla的Firefox浏览器依赖于Mozilla根程序,但Google Chrome实际上使用的是它在任何操作系统(苹果、微软等)上运行的根存储。Google根程序针对的是Android操作系统。

那么,在根程序不信任它之前,谷歌怎么能不信任Chrome中的一个根呢?答案是建立黑名单。谷歌过滤了反对自己的黑名单,这使得它可以在不运行自己的Chrome根程序的情况下不信任根。

如果我的SSL证书将是不可信的,我需要做什么?

不要惊慌。谷歌推出Chrome 70还需要一周的时间。但你现在需要立即行动,因为Chrome是世界上使用得最多的浏览器,市场份额超过50%。

如果你的网站使用的是受到影响的SSL证书,那么你有几种选择:

1. 你可以联系dns666.com。拥有专业又值得信赖的SSL/TLS业务,并且已经建立了基础设施来帮助你快速重新签发或替换你的赛门铁克CA品牌的SSL证书。

2. 联系DigiCert。除了上述选择之外,你也可以直接去DigiCert那里,进行重新签发/更换。

考虑到许多SSL证书需要在重新签发的几个月之后进行更新,DigiCert还延长了更新的截止日期。现在,网站所有者可以进行更新并且将7个月的更新截止期限应用于其新证书。这将大大有助于减轻管理负担。

最后一点,赛门铁克CA品牌现在是再次值得信赖的,因为它们是由DigiCert运营的。所有赛门铁克CA品牌的SSL证书——赛门铁克、GeoTrust、Thawte&RapidSSL——都在2017年12月1日之后链回到了DigiCert的可信赖的根。

所以,最后一次:这是你更换任何原始的、在2017年12月1日之前签发的赛门铁克SSL证书的最后机会,否则你的网站就会崩溃。不要等这一天到来。