谷歌Chrome不信任赛门铁克PKI,网站运营者需立即采取行动
2018-03-21 00:00
260 查看
谷歌安全博客2018年3月7日发布公告,再次提醒用户:谷歌Chrome将停止信任赛门铁克CA及其旗下SSL证书品牌(Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL)。详情参考以下原文翻译:
由Chrome安全团队Devon O'Brien,Ryan Sleevi和Emily Stark发布
我们之前宣布计划撤销Chrome对赛门铁克CA的信任(包括赛门铁克旗下品牌,如Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL)。这篇文章概述了网站运营者如何确定它们是否受这种弃用的影响,如果是,需要做些什么以及什么时候做。未能及时替换这些证书,将导致网站在即将推出的主流浏览器新版本(包括Chrome)中出现中断。
如果您不确定自己的网站是否使用此类证书,可以在Chrome 金丝雀版本中预览,看看这些更改是否对您的网站产生影响。如果连接到您的网站显示证书错误或在DevTools 中显示如下所示的警告,那么您需要替换您的证书。您可以从任何可信任的CA(包括最近收购赛门铁克CA业务的Digicert)获取新证书。
Chrome66用户在使用2016年6月1日之前颁发的旧版赛门铁克SSL/TLS证书时可能会看到的证书错误示例
如果您需要在Chrome66之前替换您的证书,您将看到这样的DevTools消息
Chrome 66已经发布到Canary和DEV频道(译者注:3月15日Chrome 66已经发布第1个Beta版本),这意味着受影响的网站已经影响到了这些Chrome版本的用户。如果受影响的网站没有在2018年3月15日之前替换证书,Chrome 66 Beta版本的用户将开始遇到此类问题。如果您的网站目前在金丝雀版本中显示错误,强烈建议您尽快更换您的证书。
如果您需要在Chrome70 之前替换您的证书,您将看到的DevTools消息
如果您在DevTools中看到此消息,需要尽快更换您的证书。如果证书未及时替换,用户将在2018年7月20日开始在您的网站上看到证书错误。第一个Chrome 70 Beta版本将在2018年9月13日左右发布。
有关Chrome特定版本的发布时间表,您还可以参考Chromium开发者日历,如果发布时间发生变化,它会进行更新。为了解决某些企业用户的需求,Chrome允许企业暂时信任遗留的赛门铁克PKI,不过从2019年1月1日起,该策略也将失效。
内容来源:谷歌安全博客
由Chrome安全团队Devon O'Brien,Ryan Sleevi和Emily Stark发布
我们之前宣布计划撤销Chrome对赛门铁克CA的信任(包括赛门铁克旗下品牌,如Thawte、VeriSign、Equifax、GeoTrust和 RapidSSL)。这篇文章概述了网站运营者如何确定它们是否受这种弃用的影响,如果是,需要做些什么以及什么时候做。未能及时替换这些证书,将导致网站在即将推出的主流浏览器新版本(包括Chrome)中出现中断。
Chrome 66
如果您的网站使用的是赛门铁克2016年6月1日之前签发的SSL/TLS证书,那么它将在Chrome 66版本中停止运作,现在可能已经影响到您的用户。如果您不确定自己的网站是否使用此类证书,可以在Chrome 金丝雀版本中预览,看看这些更改是否对您的网站产生影响。如果连接到您的网站显示证书错误或在DevTools 中显示如下所示的警告,那么您需要替换您的证书。您可以从任何可信任的CA(包括最近收购赛门铁克CA业务的Digicert)获取新证书。
Chrome66用户在使用2016年6月1日之前颁发的旧版赛门铁克SSL/TLS证书时可能会看到的证书错误示例
如果您需要在Chrome66之前替换您的证书,您将看到这样的DevTools消息
Chrome 66已经发布到Canary和DEV频道(译者注:3月15日Chrome 66已经发布第1个Beta版本),这意味着受影响的网站已经影响到了这些Chrome版本的用户。如果受影响的网站没有在2018年3月15日之前替换证书,Chrome 66 Beta版本的用户将开始遇到此类问题。如果您的网站目前在金丝雀版本中显示错误,强烈建议您尽快更换您的证书。
Chrome 70
从Chrome 70版本开始,所有剩余的赛门铁克SSL/TLS证书将停止工作,最终导致如上所示的证书错误。要检查您的证书是否受到影响,请立即在Chrome中访问您的网站并打开DevTools。您将在控制台中看到一条消息,告诉您是否需要更换证书。如果您需要在Chrome70 之前替换您的证书,您将看到的DevTools消息
如果您在DevTools中看到此消息,需要尽快更换您的证书。如果证书未及时替换,用户将在2018年7月20日开始在您的网站上看到证书错误。第一个Chrome 70 Beta版本将在2018年9月13日左右发布。
Chrome预计的发布时间表
下表显示了Chrome 66和Chrome 70的第一个金丝雀版本、第一个Beta版本和稳定版本的发布时间。最初的影响从第一个金丝雀版本开始,随着该版本发布Beta版和最终的稳定版,用户人数会稳定增长。强烈建议网站运营商在Chrome 66和Chrome 70的第一个金丝雀版本之前对网站进行必要的更改,最迟不晚于相应的Beta版本发布日期。有关Chrome特定版本的发布时间表,您还可以参考Chromium开发者日历,如果发布时间发生变化,它会进行更新。为了解决某些企业用户的需求,Chrome允许企业暂时信任遗留的赛门铁克PKI,不过从2019年1月1日起,该策略也将失效。
内容来源:谷歌安全博客
相关文章推荐
- 团购网站暴信任危机:团购无效电影票
- 网站运营计划【运营者】
- 在server 2008/2003中 取消对网站的安全检查/去除添加信任网站
- 拼多多的成功告诉网站运营者,SEO优化不能轻易放弃
- 将网址在QQ信息中设为信任网站的两种见解
- 赢得用户的信任的网站需要这样做
- windows 2003和server 2008 取消对网站的安全检查/去除添加信任网站
- 网站建设10招立即改善网站的友好度
- Windows Server 2012R2 PKI、SSL网站与邮件安全
- [猎豹教程] 关于“网站证书不受信任”的相关说明
- 网站让访问者信任的几个核心点
- 网站运营者如何做网站内容审计
- 为网站赢得用户信任的8个建议
- 赛门铁克:更多的网站被黑客挂上挖矿脚本!
- 解决GoAgent打开https网站SSL证书错误 (安全证书不受信任)问题
- sharepoint 2013 文档库 资源管理器打开报错 在文件资源管理器中打开此位置时遇到问题,将此网站添加到受信任站点列表,然后重试。
- sharepoint 2013 文档库 使用资源管理器打开是灰色的,浏览器版本是IE 9在IE 11可正常打开,或提示在文件资源管理器中打开此位置时遇到问题,将此网站添加到受信任站点列表,然后重试
- Chrome 去掉“该网站的安全证书不受信任!”的提示
- Google的艺术鉴赏网站:Google Art Project,新增 134 件收藏品,立即开始环球艺术之旅
- 解决12306.cn网站验证码获取提示“基础连接已经关闭: 未能为 SSL/TLS 安全通道建立信任关系“的问题