关注网络安全
和行业未来

虚张声势?谷歌将强制证书透明度期限挪至Chrome68

说好的四月三十日没能实现,强制证书透明度还得等到七月份。

上周我们在文章中提到,所有在2018年4月30日签发的SSL证书都必须记载到证书透明日志,不然用户在浏览网站时就会收到整页的不安全警告。然而事与愿违,尽管从证书透明制诞生以来各大浏览器厂商都在尝试将其实践,谷歌去年还给了证书颁发机构一年的时间、推迟了进程。

而这回,谷歌给的信息显得更含糊,让人难以解读。 例如,CT截止日期已过,但谷歌直到7月份才开始执行。 谷歌其实可以明确表示,这只会影响在截止日期之后发布证书的网站。也就是说,2018年4月30日之前发布的任何证书都不用载入证书透明制。

事实上,4月30日的截止日期是针对证书颁发机构的。这仅仅是业内变动,与客户无关。如果现在一家CA给你发了张没进证书透明制的证书,那基本上是误签发没跑了。要是你运气不太好,真得了张这样的证书,你在Chrome 68发布之前(7月中旬)还有机会做调整。等到7月份Chrome 68正式版发布了,使用不进证书透明制的证书才会真正波及您的用户。

有一个方法可以帮助您查看自家的证书是不是符合标准,会不会触发警告:

希望测试新颁发证书以符合合规性的站点操作员和CA可以从Chrome 67开始在开发者工具中使用这个功能。“安全”面板将提供有关连接和证书的详细信息,包括连接和证书是否适当地支持证书透明。或者,对于想要测试被主动阻止的使用非法证书的站点管理员,可以通过以下命令行标识来实现:

--enable-features=”EnforceCTForNewCerts<EnforceCTTrial” --force-fieldtrials=”EnforceCTTrial/Group1” --force-fieldtrial-params=”EnforceCTTrial.Group1:date/1525132800”

因此请大家不要担心。证书颁发机构们早就花了几年的时间成为CT认证了。大多数用户的警告将不会在7月生效。

 

稿源:The ssl store

评论 1

  1. #1

    这里存在误导,一家CA给你发了张没进证书透明制的证书,不代表就是误签,只是该证书在chrome上使用会被认为不安全。目前从WebTrust/ETSI等审计要求里面,并未将CT列入要求,而各大浏览器厂商的根策略也未列入,微软有明确表示暂不强制要求CT,强制CT只是谷歌单方面要求,个人觉得这也是谷歌推迟的原因,因为这样会导致chrome用户转向使用其他浏览器。

    匿名6个月前 (05-11)回复