因为发现赛门铁克签发了大量有问题的证书,Google
官方博客公布了 Chrome
浏览器不信任赛门铁克证书的时间表:

澳门葡萄京官方网站,谷歌Chrome工程师 Ryan
Sleevi昨日宣布,伴随着赛门铁克最近及以前发布的一系列错误证书,谷歌不再信任赛门铁克过去几年的证书颁发政策,计划逐步降低对其证书的信任,对其新颁发证书的可接受有效期限制在9个月以内,并停止展示其EV
SSL证书绿色地址栏等验证状态。

由于赛门铁克 CA 过去几年被发现签发了大量有问题的证书,包括 2015 年在
Google 不知情下为 Google 域名颁发了有效期一天的预签证书,Google
去年宣布从 2018 年 10 月 23 日发布的 Chrome 70
将停止信任赛门铁克的旧证书。Chrome 的测试版本 Chrome Canary
已经停止信任赛门铁克证书。

2017 年 10 月发布的 Chrome 62 将在 DevTools
中加入对即将不受信任的赛门铁克证书的警告;2017 年 12 月 1 日,DigiCert
将接手赛门铁克的证书签发业务;2018 年 4 月 17 日发布的 Chrome 66
将不信任 2016 年 6 月 1 日之前签发的证书;2018 年 10 月 23 日发布的
Chrome 70 将停止信任赛门铁克的旧证书。受影响的赛门铁克 CA 品牌包括
Thawte、VeriSign、Equifax、GeoTrust 和
RapidSSL,几个独立运作密钥不受赛门铁克控制的次级 CA
得到了豁免,其中包括了苹果和
Google。Google 建议使用赛门铁克证书的网站及时更新到受信任证书。

背景

现在,Mozilla 宣布它的测试版本 Firefox Nightly 63
将停止信任赛门铁克签发的证书,用户访问使用赛门铁克证书的网站将会看到警告信息。Mozilla
建议网站所有者尽可能快的替换旧证书。

澳门葡萄京官方网站 1

自1月19日开始,Google
Chrome团队介入调查赛门铁克公司的一系列证书问题。随着调查的深入,根据赛门铁克公司所提供的解释已经表明每个问题的严重性不断增加,已经从最初报告的127个问题证书扩展到至少30000个,而且这些证书都是在最近几年发布的。此外赛门铁克公司此前发布的证书也存在很多错误,这导致谷歌对赛门铁克的证书颁发策略和机制产生强烈的质疑和不信任。 

澳门葡萄京官方网站 2

(文/开源中国)    

谷歌指出,赛门铁克未能确保正确的域名验证,对于申请特殊域名SSL证书的申请者身份审核草草了事。此外,赛门铁克公司的员工既没有对未经授权发行的证书进行日志审核,也没有对这一缺陷进行改进。因此,谷歌认为赛门铁克没有足够的监督能力。 

来自:cnbeta.com

这已经不是谷歌第一次警告赛门铁克错误签发证书的问题:

2015年9月和10月,Google发现赛门铁克旗下的Root
CA未经同意签发了众多域名的数千个证书,其中包括Google旗下的域名和不存在的域名。Google称其不能确定赛门铁克的该Root
CA签发的证书将不会被用于拦截、破坏或冒充Google产品或用户的安全通信。且赛门铁克在知道以上威胁的情况下也不愿因详细说明签发这些证书的用途。

2015年12月,Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的”Class
3 Public Primary CA”根证书。 

采取的措施

谷歌将采取措施,逐步降低对赛门铁克SSL证书的信任:

1、赛门铁克新颁发的SSL证书可接受的最大有效期缩短至9个月,在Chrome
61版本生效(预计9月12日发布)。

2、Chrome后续一系列版本,将对目前所有赛门铁克已颁发的SSL证书越来越不信任,并要求这些证书重新验证和替换。

  • Chrome 59(Dev,Beta,稳定):33个月有效期(1023天)

  • Chrome 60(Dev,Beta,稳定):27个月有效期(837天)

  • Chrome 61(Dev,Beta,稳定):21个月有效期(651天)

  • Chrome 62(Dev,Beta,稳定):15个月有效期(465天)

  • Chrome 63(Dev,Beta):9个月有效期(279天)

  • Chrome 63(稳定):15个月有效期(465天)

  • Chrome 64(Dev,Beta,稳定):9个月有效期(279天)

3、  立即删除赛门铁克EV
SSL证书的扩展验证标识(如绿色地址栏、状态栏显示组织名称等),不少于1年,直至确信赛门铁克的颁发政策和做法值得放心。

目前其他浏览器暂时没有做出回应。

消息来源:bleepingcomputer

(文/开源中国)