首页>安全资讯>谷歌Chrome不信任赛门铁克PKI,网站运营者需立即采取行动

谷歌Chrome不信任赛门铁克PKI,网站运营者需立即采取行动

谷歌安全博客2018年3月7日发布公告,再次提醒用户:谷歌Chrome将停止信任赛门铁克CA及其旗下SSL证书品牌(Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL)。详情参考以下原文翻译:

由Chrome安全团队Devon O'Brien,Ryan Sleevi和Emily Stark发布

我们之前宣布计划撤销Chrome对赛门铁克CA的信任(包括赛门铁克旗下品牌,如Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL)。这篇文章概述了网站运营者如何确定它们是否受这种弃用的影响,如果是,需要做些什么以及什么时候做。未能及时替换这些证书,将导致网站在即将推出的主流浏览器新版本(包括Chrome)中出现中断。

Chrome 66

如果您的网站使用的是赛门铁克2016年6月1日之前签发的SSL/TLS证书,那么它将在Chrome 66版本中停止运作,现在可能已经影响到您的用户。

如果您不确定自己的网站是否使用此类证书,可以在Chrome 金丝雀版本中预览,看看这些更改是否对您的网站产生影响。如果连接到您的网站显示证书错误或在DevTools 中显示如下所示的警告,那么您需要替换您的证书。您可以从任何可信任的CA(包括最近收购赛门铁克CA业务的Digicert)获取新证书。

Chrome 66用户在使用2016年6月1日之前颁发的旧版赛门铁克SSL/TLS证书时可能会看到的证书错误示例

如果您需要在Chrome 66之前替换您的证书,您将看到这样的DevTools消息

Chrome 66已经发布到Canary和DEV频道(译者注:3月15日Chrome 66已经发布第1个Beta版本),这意味着受影响的网站已经影响到了这些Chrome版本的用户。如果受影响的网站没有在2018年3月15日之前替换证书,Chrome 66 Beta版本的用户将开始遇到此类问题。如果您的网站目前在金丝雀版本中显示错误,强烈建议您尽快更换您的证书。

Chrome 70

从Chrome 70版本开始,所有剩余的赛门铁克SSL/TLS证书将停止工作,最终导致如上所示的证书错误。要检查您的证书是否受到影响,请立即在Chrome中访问您的网站并打开DevTools。您将在控制台中看到一条消息,告诉您是否需要更换证书。

如果您需要在Chrome 70 之前替换您的证书,您将看到的DevTools消息

如果您在DevTools中看到此消息,需要尽快更换您的证书。如果证书未及时替换,用户将在2018年7月20日开始在您的网站上看到证书错误。第一个Chrome 70 Beta版本将在2018年9月13日左右发布。

Chrome预计的发布时间表

下表显示了Chrome 66和Chrome 70的第一个金丝雀版本、第一个Beta版本和稳定版本的发布时间。最初的影响从第一个金丝雀版本开始,随着该版本发布Beta版和最终的稳定版,用户人数会稳定增长。强烈建议网站运营商在Chrome 66和Chrome 70的第一个金丝雀版本之前对网站进行必要的更改,最迟不晚于相应的Beta版本发布日期。

有关Chrome特定版本的发布时间表,您还可以参考Chromium开发者日历,如果发布时间发生变化,它会进行更新。为了解决某些企业用户的需求,Chrome允许企业暂时信任遗留的赛门铁克PKI,不过从2019年1月1日起,该策略也将失效。

内容来源:谷歌安全博客