SSL信息
该公告是苹果公司赛门铁克CA不信任计划的补充
苹果公司已经明确了赛门铁克CA不信任计划,其中有即将到来的7月20日的最后期限。 2016年6月1日至2017年12月1日期间签发的任何Symantec CA SSL证书如果未发布到证书透明度日志,将不受信任。
这仅适用于Symantec CA证书,对于SSL / TLS生态系统的其余部分,Apple的CT截止日期仍为10月15日。除了浏览器中的Web内容之外,该要求不会影响SSL / TLS用例。 受影响的申请将包括:
- macOS High Sierra
- macOS应用程序
- iOS 11
- iOS应用
- Safari浏览器
这不太可能产生重大影响,因为不信任将主要影响已经被谷歌Chrome浏览器和Mozilla Firefox处罚的证书。 此外,赛门铁克此前与谷歌的混战之后,已经要求记录它发布的证书了。
尽管如此,网站所有者仍希望仔细检查他们的Symantec CA SSL证书,以免他们被四大网络浏览器之一取消信任。
如何判断我的SSL证书是否已经过CT记录?
证书透明度是一个行业的事情,最终用户无需做任何事情来记录自己的证书。 CA必须这样做。 但是,有两种方法可以检查并查看是否已记录您颁发的SSL证书。 第一种方法是检查浏览器中的证书详细信息。
- 访问你的网站
- 单击浏览器地址栏中的挂锁图标
- 查找可以查看证书或证书详细信息的位置
- 查找字符串:'1.3.6.1.4.1.11129.2.4.2'
如果找到它,则表示您的证书已被记录。 所有CT记录的证书的OID都相同。 现在,浏览器以不同的方式显示此信息。 例如,Safari将其显示为:
Firefox将其称为对象标识符。
Google会让您浏览其菜单,从“更多工具”部分选择开发人员工具,然后导航到安全性,您可以通过单击“主要来源”查看证书详细信息。
如果您正在使用Microsoft Edge,或者只是不想在浏览器中点击,还有另一种方法可以检查。 您还可以使用Symantec的CryptoReport:
转到Symantec CryptoReport。
输入您的网址。
检查:“Certificate Transparency: Embedded in certificate”(证书透明度:嵌入证书)
如果该行存在,则说明已录入CT!
如果不是,并且您使用的是2016年6月1日至2017年12月1日期间颁发的Symantec CA品牌SSL证书,则需要立即重新颁发或更换您的SSL证书。 您的替代品将来自DigiCert,后者现已收购赛门铁克CA,并在过去9个月中一直在努力更换数百万受影响的证书。
稿源:The ssl store