Symantec PKI 不受信任:网站运营者需要立即采取措施

2018 年 4 月 4 日,星期三

Google 安全博客交叉发布。

我们之前公布了有关 Chrome 停止信任 Symantec 证书授权机构(包括 Symantec 所拥有的 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL 等品牌)的计划。本博文简要介绍了网站运营者可以通过什么方式来确定自己是否受到了该变化的影响,以及,如果受到了影响,最晚需要在何时采取哪些措施。如果您不替换这些证书,那么用户在主流浏览器(包括 Chrome)的未来版本中访问您的网站时,将会遇到无法访问的问题。

Chrome 66

如果您的网站使用的是 Symantec 在 2016 年 6 月 1 日之前颁发的 SSL/TLS 证书,则这类证书将无法在 Chrome 66 中正常运行;您的用户可能已受到相关影响。

如果您不确定自己的网站使用的是否是此类证书,请在 Chrome Canary 版中预览相关变化,以确定您的网站是否受到了影响。如果连接到您的网站会导致系统显示证书错误或 DevTools 中显示如下所示的警告,则说明您需要替换证书。您可以从任意受信任的证书授权机构获取新证书,其中包括最近收购了 Symantec 证书授权机构业务的 Digicert。

Chrome 66 用户可能会看到的证书错误示例
使用 2016 年 6 月 1 日之前颁发的旧版 Symantec SSL/TLS 证书时 Chrome 66 用户可能会看到的证书错误示例。
说明您需要在 Chrome 66 发布前替换证书的 DevTools 警告消息。
如果您需要在 Chrome 66 发布前替换证书,您将会看到如图所示的 DevTools 警告消息。

Chrome 66 的 Canary 版及开发者版已经发布,也就是说,受到影响的网站已开始影响使用这些 Chrome 版本的用户。如果受到影响的网站未能在 2018 年 3 月 15 日之前替换相关证书,则 Chrome Beta 版用户也将开始遇到网站无法访问的问题。如果目前在 Canary 版 Chrome 中访问您的网站时系统会显示错误,则我们强烈建议您尽快替换证书。

Chrome 70

从 Chrome 70 开始,所有其余的 Symantec SSL/TLS 证书都将无法正常在 Chrome 中运行,这会导致系统显示如上所示的证书错误。如需检查您的证书是否会受到影响,请立即在 Chrome 中访问您的网站并打开 DevTools。如果您需要替换证书,则会在控制台中看到一条消息。

说明您需要在 Chrome 70 发布前替换证书的 DevTools 警告消息。
说明您需要在 Chrome 70 发布前替换证书的 DevTools 警告消息。

如果您在 DevTools 中看到此消息,则需要尽快替换证书。 如果您不替换证书,则最早从 2018 年 7 月 20 日开始,用户便会在您的网站上看到证书错误。Chrome 70 的第一个 Beta 版将于 2018 年 9 月 13 日左右发布。

预计的 Chrome 发布时间表

下表显示了 Chrome 66 和 Chrome 70 的第一个 Canary 版、第一个 Beta 版以及稳定版的发布安排。特定 Chrome 版本引发的影响将随着第一个 Canary 版的发布而开始显现,随着 Beta 版以及最终稳定版的发布,受影响的用户的范围将持续扩大。我们强烈建议网站运营者在 Chrome 66 和 Chrome 70 的第一个 Canary 版发布之前(不要晚于相应 Beta 版的发布日期)就对网站进行必要的更改。

版本 第一个 Canary 版 第一个 Beta 版 稳定版
Chrome 66 2018 年 1 月 20 日 2018 年 3 月 15 日左右 2018 年 4 月 17 日左右
Chrome 70 2018 年 7 月 20 日左右 2018 年 9 月 13 日左右 2018 年 10 月 16 日左右

如需了解与特定 Chrome 版本的发布时间表有关的信息,您还可以参阅 Chromium 开发日程;如果发布安排有任何变化,此日程会进行相应更新。

为了满足部分企业用户的需求,Chrome 还将实施一项企业政策,以允许用户停止从 Chrome 66 开始的对旧版 Symantec PKI 的不信任处理。但从 2019 年 1 月 1 日起,用户将无法再使用此政策;届时,对于所有用户,旧版 Symantec PKI 都将不受信任。

特别提示:Chrome 65

之前的公告中所述,2017 年 12 月 1 日之后颁发的来自旧版 Symantec PKI 的 SSL/TLS 证书已不再受信任。大多数网站运营者应该都不会受到影响,因为运营者必须与 DigiCert 达成特别协议才能获取此类证书。自 Chrome 65 起,用户将无法访问提供此类证书的网站,相应请求将会遭到屏蔽。为避免出现此类错误,请确保仅向老旧设备提供此类证书,而不要向 Chrome 等浏览器提供。