关注网络安全
和行业未来

谷歌和赛门铁克公司达成协议 推迟原定于8月8日的截止日期

今年三月,谷歌的Chrome浏览器团队提出了赛门铁克违反SSL证书颁发相关行业标准的问题。为了达成一个共赢的方案,谷歌、赛门铁克及互联网社区的其他成员在过去的四个月内不断进行着协商和讨论。而就在近日,Chrome浏览器团队和赛门铁克公司宣布了他们的最终推进计划。起初设定的2017年8月8日的截止日期不再适用。

如果你的网站正在使用赛门铁克的SSL证书,本文将会为你解答,查看Chrome的未来版本是否会影响您的特定证书,以及如何在一切生效之前替换该证书(免费)。

我会受这个协议的影响吗?

如果你目前是赛门铁克公司证书的用户,或计划在2017年要购买他们的证书,那么这可能会对你产生影响。

作为证书颁发机构中的大佬,受影响的赛门铁克SSL证书的数量比预想的要多。注意,赛门铁克公司运营着不同的品牌,所有这些品牌都会受影响:

  • Symantec
  • GeoTrust
  • Thawte
  • RapidSSL

Mozilla的火狐浏览器也在酝酿一系列措施,但目前还没有制定出任何计划。

值得庆幸的是,在2018年来临之前,你仍有很多时间来做准备。

Chrome对赛门铁克问题证书取消信任的计划分为两步。第一阶段,2016年6月1日以前颁发的证书将受到影响。第二阶段,所有从赛门铁克公司目前的根证书颁发的证书都会受影响(包括还未颁发的证书)。

为了遵守谷歌的计划,你需要通过一个免费的重新颁发和重新安装过程来替换现有的赛门铁克证书,但过程并不繁琐。

为什么谷歌不信任赛门铁克证书?

由于赛门铁克公司违反了行业标准,谷歌Chrome浏览器决定,赛门铁克目前的根证书(这是该公司SSL产品受信任的根本)需要由Chrome浏览器重新审核。由一系列测试证书的错误颁发引起的“血案”,促使谷歌提出对所有赛门铁克证书的怀疑。

由于谷歌所处的位置,很多赛门铁克SSL证书最终将不再被Chrome浏览器信任,如果使用HTTPS的用户未采取适当行动的话,还将收到报错。

这一过程将分为两个阶段,第一阶段从2018年4月开始,第二阶段将会在2018年10月(我们将在下一节详细讲讲这些变化的细节)。

然而,请注意,赛门铁克公司仍将可以通过使用不同的技术架构继续颁发可信证书

赛门铁克公司将首先与另一家妥善管理的证书颁发机构合作,该机构将从今年12月开始以赛门铁克公司的名义颁发证书。在赛门铁克公司向浏览器提交新的根证书期间,这个合作伙伴将继续处理证书颁发有关事务。

这将允许赛门铁克公司在谷歌宣布做出这些改变期间不间断地继续颁发可信证书。

长期来看,赛门铁克公司新的根证书将广泛发放给各种设备,这会使他们开始自己颁发证书。

我该怎么办?

Chrome提出的两个阶段将以Chrome 66和Chrome 70两个版本的发布为节点。目前的版本是61。

Chrome 66发布时(预计在2018年4月中旬)如果未采取适当措施,所有2016年6月1日前颁发的赛门铁克证书都将不再受信。

这意味着Chrome浏览器66版本以上的用户将不能与你的网站建立HTTPS连接,并将收到一个警告。

第二阶段将从Chrome浏览器70版本发布(预计在2018年10月末)开始。如果未采取适当措施的话,那么所有由赛门铁克目前的根证书颁发的证书都将从这一天开始不受信任。

根据你当前证书的颁发和失效日期,你可能需要替换你的赛门铁克证书,以在此期间保持证书可信。这可能取决于赛门铁克公司未来的PKI改进措施的时效。

为便于了解这一系列事件,我们把这些信息分解成一个时间表。Chrome浏览器不再信任的两个阶段是截止日期,它们被加粗了,以清楚地显示一般信息和可操作步骤的区别。

(大约的) 日期 Chrome 浏览器版本 会发生什么? 怎样做准备?
2017年10月24日 62 Chrome浏览器62版本将在开发人员工具中显示一条消息,以帮助确认在Chrome浏览器66版本中将不再受信的证书。 在打开开发人员工具面板的情况下访问你的网站——这将使你明确哪个站点会在Chrome浏览器66版本中不再受信。
2017年12月1日 N/A 一家合伙证书颁发机构将开始为赛门铁克公司颁发证书。 作为终端用户,你可能会注意到颁发过程中一些微小的变化。

 

从技术角度看,该日期意义重大,因为这标志着“新的”赛门铁克证书的开始。

 

在此日期之后颁发的证书将会由不同的根证书颁发,不会受Chrome浏览器的不信任的影响。

2018417 66 所有在2016年6月1日前颁发的赛门铁克证书将不再被Chrome浏览器信任。

 

2016年6月1日后颁发的证书在这一版本中将不受影响。

在此日期之前替换所有2016年6月1日颁发的赛门铁克证书。

 

可以由你的证书提供商免费重新颁发和安装,以替换旧的证书。

 

如果你的证书在此期间(4-6月)失效,你可能需要考虑更新它,而不需要重新颁发,以避免短期内进行两次替换。

20181028 70 所有赛门铁克公司以其现有架构颁发的证书都将不再被Chrome浏览器信任。 从今年12月1日起,你将可以从赛门铁克公司的合伙证书颁发机构那里收到新的证书。

 

从技术角度看,这些证书将有另一个证书颁发机构颁发,会继续受到Chrome浏览器信任。

从Chrome浏览器62稳定版开始,当遇到一个Chrome浏览器66版本不再信任的证书时,在开发人员工具面板中,将会出现一个消息提示。开发人员可以依靠这一功能来确认他们网站中将受到影响的证书。

你还可以下载Chrome Canary版本来预览即将出现的新功能。预计Chrome 66将在明年1月推送到Canary。

或许可以这么做

为减少中断和需要做的工作,我们建议采取以下措施:

如果你的证书在2017年12月前失效···

我们建议你在12月前更新(而不是重新颁发)你的证书。这会使你在假期中拥有一个可信证书,直到2018年10月所有由赛门铁克公司现有的根证书颁发的证书都会出现问题并需要替换。

如果你的证书在12月当月失效···

我们建议你现在就考虑替换证书以避免出现中断。目前,赛门铁克公司希望在12月1日(一个星期五)前找到合伙证书颁发机构。如果你可以等到那时重新颁发和替换你的证书,你将很可能在下一次自然失效日前前不需要再替换一次证书了。

但是,注意可能会发生延迟,这就会使赛门铁克公司预估的12月1日发生问题,这可能会导致那时需要进行超常的大量证书颁发工作,从而引发技术问题。

如果出现这种情况且你现在的证书失效日期过于接近那个日期,你的证书可能会有中断的风险。“假期冻结”也可能使你不需要在这个月替换证书。

如果你必须要在赛门铁克合伙证书颁发机构做好颁发证书的准备之前替换你的证书,那么在Chrome 70发布(预计在2018年10月末)之前可能需要再一次替换你的证书。

如果你的证书在2017年12月31日后失效···

我们建议你等到赛门铁克公司的合伙证书颁发机构开始颁发证书(预计在2017年12月1日)再替换你的任何证书。

在此日期之后,你可以开始根据需要重新颁发和替换证书。

如果你的证书在2018年3月30日前失效···

早点更新证书将会是最简单的做法。这样你只需替换一次证书。赛门铁克公司的合伙证书颁发机构颁发的证书将不会受Chrome浏览器变化的影响,在其自然有效期结束前也不需要替换。

特殊情况:如果你的证书是在2016年6月1日前颁发并在2018年4月17日后失效···

你处于一种特殊情况。你的证书必须在Chrome浏览器66版本发布(预计会在2018年4月17日)前重新颁发和替换,以保持Chrome浏览器的信任。

但是,你应该2017年12月1日以后再重新颁发你的证书。在这一天,赛门铁克公司的合伙证书颁发机构将开始颁发证书。在此之前,你将只需要替换一次你的证书。

如果你在赛门铁克公司的合伙证书颁发机构出现之前重新颁发你的证书,那么你的证书将来自赛门铁克公司当前的一个根证书,它在2018年10月后仍需要被替换。

 

稿源:The ssl store

评论 抢沙发