尊敬的网站管理员们,请注意,根据谷歌的最新安全更新,自2024年10月31日起,Google Chrome浏览器将不再信任由 Entrust 和 AffirmTrust 签发的某些 TLS 证书。这一变更将在 Chrome 127 版本及以后的更新中生效。
具体来说,以下 Entrust 根证书签发的 TLS 服务器证书,如果其最早的证书时间戳记(SCT)日期在2024年10月31日之后,将不再被 Chrome 浏览器信任:
1.Entrust Root Certification Authority – EC1
2.Entrust Root Certification Authority – G2
3.Entrust.net Certification Authority (2048)
4.Entrust Root Certification Authority
5.Entrust Root Certification Authority – G4
同时,以下 AffirmTrust 的根证书也将受到同样的影响:
1.AffirmTrust Commercial
2.AffirmTrust Networking
3.AffirmTrust Premium
4.AffirmTrust Premium ECC
为了确保您的网站能够继续安全、稳定地运行,我们建议您尽快采取以下措施:
1.更换证书:将现有受影响的 TLS 证书更换为其他受信任的证书颁发机构签发的证书。推荐的证书颁发机构包括 Sectigo、DigiCert、GeoTrust、Thawte、RapidSSL 和 GlobalSign 等。
2.及时更新:密切关注 Chrome 浏览器的更新动态,确保您的网站能够适应最新的安全要求。
为了获取更多详情和具体的操作指南,请访问 Google 的官方安全博客文章:Sustaining Digital Certificate Security。
请务必重视这一变更,及时采取行动,以免影响您的网站访问和数据安全。
------------------------------
我们关心的问题
为什么 Chrome 要采取这一行动?
认证机构(CA)在保障浏览器与网站之间加密连接的安全性方面扮演着关键角色。然而,在过去六年中,我们注意到某些 CA 未能遵守安全性和合规性要求,存在合规性失败、未兑现改进承诺以及在响应公开披露的事件报告方面缺乏切实可衡量的进展。鉴于这些问题,Chrome 决定不再信任 Entrust 和 AffirmTrust。
此行动何时实施?
阻止行动将于2024年11月1日开始,影响在此日期或之后颁发的证书。此次变更将在 Windows、macOS、ChromeOS、Android 和 Linux 上的 Chrome 127 及更高版本中实施。需要注意的是,由于 Apple 的政策限制,Chrome for iOS 不会受到影响。
对用户有何影响?
在默认情况下,使用 Chrome 的用户在2024年10月31日之后访问使用 Entrust 或 AffirmTrust 颁发的证书的网站时,将会看到全页面的安全警告。
网站运营商如何应对?
网站运营商可以使用 Chrome 证书查看器来检查其网站是否受到影响。如果证书的“颁发者”字段中包含“Entrust”或“AffirmTrust”,则需尽快过渡到其他受信任的 CA。
受影响的网站运营商应采取哪些措施?
我们建议受影响的网站运营商尽快过渡到新的公众信任的 CA。若现有证书计划在2024年10月31日之后到期,则必须在证书到期前完成更换操作。
我可以在这些更改生效之前进行测试吗?
是的,从 Chrome 128 版本开始,提供了一个命令行标志,允许管理员和高级用户模拟 SCTNotAfter 不信任约束的效果。这可以帮助用户提前测试和准备。
内部企业网络中的 Entrust 证书如何处理?
企业可以通过在运行 Chrome 的平台上安装相应的根 CA 证书作为本地信任的根来覆盖 Chrome 根存储区的限制。
其他 Google 产品如何?
其他 Google 产品团队可能会在未来推出相应的更新。
为确保您的网站和服务的连续性和安全性,请密切关注这一变更,并采取必要的措施。更多信息,请参考 Google 的官方安全博客文章。
