Chrome 66 将调整 Symantec CA 证书策略

从Chrome官方获取的消息,Chrome 66 及之后版本,将不再信任由 Symantec 颁发的CA。

问题起源于在最新的商用版 Chrome 65 中控制台出现的提示:

The SSL certificate used to load resources from https://www.apptranz.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.

查阅官网对应的信息:
We previously announced plans to deprecate Chrome’s trust in the Symantec certificate authority (including Symantec-owned brands like Thawte, VeriSign, Equifax, GeoTrust, and RapidSSL). This post outlines how site operators can determine if they’re affected by this deprecation, and if so, what needs to be done and by when. Failure to replace these certificates will result in site breakage in upcoming versions of major browsers, including Chrome.

这已经说明,Symantec及旗下品牌(Thawte, VeriSign, Equifax, GeoTrust, and RapidSSL)的证书均受影响。事实上,Symantec的商用CA业务已经被Digicert收购。

根据Chromium的根证书策略可以肯定Chrome做出此次调整。

Verify the identity of the requester to the extent dictated by the type of certificate (for example, domain control for server certs, full identity and organizational affiliation for EV certs

Chrome 66

针对这个版本,Chrome将对使用以上证书的网站,显示“不安全访问”的提示:

这个版本的正式发布时间大概在 2018年4月17日,所以在此前最好将证书进行替换。

Chrome 70

而在接下来的版本70中,针对Symantec CA,Chrome采用非授信策略,这样会导致网站加载的资源彻底无法访问。
M70的发布时间大概在2018年10月16日。

建议

采用以上Symantec CA的朋友赶紧更换证书。
开发人员可经常关注Chrome的post
开发或运维人员可以经常使用Chrome的金丝雀(Canary)版本 传送门 ,从而获得最新的功能推送(提前填坑)。

参考

Distrust of the Symantec PKI: Immediate action needed by site operators
Root Certificate Policy

发表评论

电子邮件地址不会被公开。 必填项已用*标注