首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

赛门铁克重新发布:数以百万计的SSL证书将在周二不受信任

Google Chrome 66不会信任2016年6月1日前发布的任何Symantec,GeoTrust,Thawte和RapidSSL证书

在4月17日星期二,谷歌将推出其最新版本的浏览器Chrome 66,以稳定,有效地消除2018年6月1日前发布的任何赛门铁克CA品牌(赛门铁克,GeoTrust,Thawte和RapidSSL)SSL证书。一旦Chrome 66用户开始更新其浏览器后,任何仍在使用受影响的Symantec CA品牌SSL证书的网站都将受到浏览器警告的打击。

简单地说:如果您的Symantec CA品牌SSL证书是在2016年6月1日之前发布的,并且您没有将其重新发布到DigiCert根目录,则60.4%的美国互联网用户将无法访问您的网站,而无需点击警告。

赛门铁克不受信任

不用说这是一件大事。我不必引用你的研究,让你意识到几乎没有人点击警告。

因此,在您继续阅读本文之前,请停止正在进行的操作,并使用此工具检查您是否会受到周二的不信任影响。

工具:Symantec重新发行检查器

再次,这是针对任何人在2016年6月1日前使用Symantec,GeoTrust,Thawte或RapidSSL证书颁发的。

为什么Google不信任赛门铁克?

整个情况始于2015年,当谷歌与赛门铁克联系了一些可能发布错误的SSL证书时。这种情况本身是微不足道的。但是,第二年,当谷歌意识到更多的错误发行时,它变得更加重要,因为现在谷歌可能会认为它失去了对赛门铁克PKI的信任。

谷歌认为,赛门铁克没有正确地监督其在全球范围内进行验证的几个地区当局。再加上谷歌现在认为是一种错误发行模式,为这种不信任奠定了基础。赛门铁克最终与Google进行了谈判,并同意与另一个证书颁发机构合作,以便在重建公钥基础设施的同时继续颁发证书。在赛门铁克看来,实现这一目标的最好方式是将其业务的CA部分出售给DigiCert,除了新证书现在链接到的根源之外,DigiCert将继续按照现状运营它。

谁是对的?Google还是赛门铁克?

这是一个复杂的问题。首先让我说,Hashed Out在SSL商店中拥有相当程度的自主权,但值得注意的是,SSL商店是赛门铁克的白金精英合作伙伴(现在与其新的所有者DigiCert合作)。话虽如此,谷歌对赛门铁克所犯的错误是正确的。考虑到其中一个错误发布的2016年测试证书是针对Google.com的,它有权被激怒。

与此同时,赛门铁克指出实际上并没有真正的伤害发生,并没有错。虽然他们不同意错误发布的测试证书的数量(33对30K - 相当范围),但没有人滥用任何证书。没有人输钱。没有人死亡。

谷歌的决定有点严峻。而且我通过添加“一点”来对冲。从“你错误地发布了一些测试证书”到“现在我将不信任从这些根发布的每个SSL证书”是一个非常大的飞跃。值得注意的是,谷歌(以及Mozilla在某种程度上)也可能也试图从赛门铁克做出一个例子。但正如我们将在周二看到的那样,这将最终导致巨大的破坏性,我认为很少有人推动这种预期。

但是,赛门铁克和谷歌之间的争议再次浮出水面。如果您使用的是受影响的证书,则没有太多剩余时间可以重新发布。

谷歌将在10月份不信任所有的Symantec CA品牌SSL证书

我们不知道具体的日期 - 可能在10月23日周末左右 - 但随着Chrome 70的发布,任何未在2017年12月1日之后颁发的DigiCert PKI上的Symantec CA品牌SSL证书都将不受信任。这意味着,如果您还没有重新发放您的证书,那么您必须等到10月份,否则Google会对您的网站证书感到不安。

显然我们会继续提醒你直到那一刻。

至于4月17日的截止日期,请再次使用Symantec重新发布工具来确保您不会受到影响。如果你是,不要再浪费时间了。你还剩下几个小时就太迟了。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180414A0RS9O00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券