最後通知:Chrome 70 將不信任Symantec PKI頒發的所有證書

Editor發表於2018-10-02

2017年7 月底,Chrome 團隊與 PKI 社群共同制定了一項計劃,希望減少並最終移除對 Symantec 基礎架構的信任,此舉旨在確保使用者瀏覽網路時的安全和隱私。最終確定之前,這項計劃在 blink-dev 論壇上進行了激烈的討論。它為大家留出了合理的時間來過渡到獨立運營的新託管合作伙伴基礎架構,同時,Symantec 也將更新和重新設計其基礎架構以符合業界標準。


Symantec 宣佈選擇 DigiCert 來執行這個獨立運營的新託管合作伙伴基礎架構。


DigiCert產品執行副總裁,Jeremy Rowley接受了Help Net Security的採訪。


Jeremy Rowley領導公司的產品開發團隊,為新興市場客戶提供服務。這些客戶需要物聯網,美國聯邦醫療保健交易,先進Wi-Fi和其他創新技術領域的安全解決方案。


最後通知:Chrome 70 將不信任Symantec PKI頒發的所有證書


Q: 谷歌Chrome 70的穩定版本將在本月推出。這意味著剩餘具有Symantec證書的站點將被標記為不受信任。這對終端使用者、組織和資訊保安行業意味著什麼?


Jeremy Rowley:2017年,谷歌和Mozilla認為 Symantec(賽門鐵克)對其PKI的控制不足以在瀏覽器根儲存區繼續運營,並制定逐步不信任Symantec根目錄的計劃。其他瀏覽器緊隨其後。 


2017年10月31日,DigiCert完成了對Symantec網站安全的收購,並制定了一項經瀏覽器批准的計劃,為Symantec品牌頒發新證書,並通過在我們信任的根源上重新發布,取代那些不信任的證書。


谷歌的計劃包括三個關鍵日期,我們現在處於谷歌推出Chrome 70計劃的最後階段。日期是:


  • 2017年12月 - 在Symantec之後一個月 - Symantec交易完成後,驗證和釋出新的Symantec品牌證書已轉換為DigiCert的PKI。除了所有新發行的證書需要使用DigiCert驗證流程重新驗證客戶資訊之外,兩家公司的客戶都不需要進行任何更改。

  • 2018年3月 -  Chrome 66測試版不信任Symantec在2016年6月1日之前頒發的所有證書。

  • 2018年10月 -  Chrome 70穩定版將不信任Symantec PKI頒發的所有證書。釋出後,Chrome的穩定版本將針對仍使用Symantec根目錄的任何證書提供不受信任的警告。


若使用者未在規定時間更換證書為DigiCert的PKI,那網站則會發出警告,告知使用者其通訊不是私密的。目前,我們一直在努力為使用者提供一個簡單的替換過程,並且它正在發揮作用。截至9月中旬,只有1-2%的領先站點(Alexa 100萬個基礎域)尚未更換證書,更換速度正在加快。Chrome 70穩定版計劃在10月中旬推出。



Q: 您對那些仍在部署Symantec頒發的證書的人有什麼建議?


Jeremy Rowley:對於仍在使用Symantec頒發的證書的企業,我們的建議是——在瀏覽器發出警告之前,免費替換DigiCert證書。任何使用Symantec證書(包括Thawte,GeoTrust或RapidSSL等其他品牌)的使用者都應立即更換證書。 DigiCert提供幫助客戶通過免費更換Symantec發行的TLS證書進行轉換,以在最初購買的許可期結束時擴充套件信任。


DigiCert通過數百萬封電子郵件進行了前所未有的宣傳,並致電客戶,瞭解了DigiCert的潛在影響和解決方案,並制定了幫助客戶更換SSL / TLS證書的說明。我們簡化了替換證書的過程,同時設定了增強的驗證流程並提高了PKI的可擴充套件性。我們還為驗證人員提供了大量的培訓,加強他們的能力。大多數使用者已經更換了證書,我們會繼續為那些尚未採取行動的使用者。



Q: 自2017年底完成對Symantec網站安全和相關PKI解決方案的收購以來,DigiCert的主要關注點是什麼?


Jeremy Rowley:自從去年完成對賽門鐵克網站安全和相關PKI解決方案的收購以來,我們投入了大量時間和必要的資源,以儘量減少瀏覽器對我們的客戶和合作夥伴的不信任。首先要求使用我們自己的架構替換所有Symantec後端系統並重新驗證客戶。


通過努力,我們能夠做到在2017年12月開始進行最初的更換後,為客戶管理大量的更換證書,並且沒有明顯的延誤。我們與客戶的溝通非常廣泛,我們一直在努力簡化處理。



Q: DigiCert為全球2000強中大部分企業提供證書管理和安全解決方案。您如何看待證書管理在不久的將來發展?


Jeremy Rowley:隨著企業加速數字化轉型,他們會看到新型物理資產聯網的需求和對安全的需求。組織面臨著一些挑戰,如安全需求(思考IoT)的規模、訓練有素的工作人員,以及其可用性和快速增長的攻擊媒介。證書管理對於組織來說至關重要,但它超出了許多人的常規工作流程,包括開發人員和IT經理。公司需要自動化,包括證書採購、釋出、配置和續訂,我們通過技術和API整合幫助簡化生命週期。


企業客戶尋求一次性發行。他們需要一個能夠理解其工作流程並提供適合其工作文化的自動化管理系統的合作伙伴。他們需要具有專業知識的供應商來跟蹤不斷變化的威脅並幫助他們保持最新狀態。這一直是我們對DigiCert的關注,並將繼續如此。客戶至上是我們的口頭禪。



是什麼讓DigiCert在市場上獨一無二?您有什麼優勢?


Jeremy Rowley:當我們的創始人確定獲取和安裝數字證書應該更容易時,DigiCert就是圍繞客戶體驗構建的。這一直是我們的重點:創新客戶友好的產品,簡化證書管理的工具,7天24小時的客戶支援團隊,用知識為使用者提供特定的服務。


我們還積極參與行業標準工作,幫助我們的客戶始終站在解決實時風險、不斷髮展的實踐最前沿。作為行業領導者,我們一直致力於改進證書生態系統。例如:


  • 沒有CA(認證中心)可以匹配我們的全球服務,員工是來自全球各地的,他們有不同的語言,在不同的辦公地點,來為使用者提供本地化服務。我們還擁有最多的人才和創新者,致力於提高行業標準和技術。

  • 我們構建了一個現代化,可擴充套件的基礎架構,能夠可靠地託管物聯網和其他連線所需的數十億個證書。我們還與其他人合作推進前瞻性解決方案,例如量子安全加密技術以及改進區塊鏈等社群內的驗證和信任。

  • 我們支援提高用於頒發數字證書驗證方法的透明度,包括使用哪種方法驗證特定證書。我們認為,有關發行不需要私密的數字證書的任何細節都應公開。我們建立了一個在CA /瀏覽器論壇中傳遞的選票,並繼續推動積極的變化。

  • 我們是自動化的忠實粉絲,並且正在努力支援改進的方法和工具,以便更輕鬆地管理證書。

  • DigiCert並不止於此,請繼續關注更多。

Chrome 70的穩定版將在10月16日左右釋出,屆時,超過60%的網路將無法訪問仍在使用受影響證書之一的網站。


2018年7月,谷歌釋出了Chrome的Dev開發版Chrome 70。幸運的是,很少有人使用該版本。測試版擁有更多的使用者,但絕大多數人將在10月16日左右受到穩定版本的影響。值得注意的是,谷歌通常都是逐步推出更新,因此更有可能在16日那一週,而不是16日當天。


網站運營商們,記得及時替換安全證書~



參考來源:

helpnetsecurity

掘金




- End -


更多閱讀:


1、閱讀《加密與解密》之前,需要什麼基礎?


2、暗網出現新Gazorp組織免費構建惡意軟體Azorult 可竊取使用者資料


3、Telegram爆出漏洞 語音呼叫即可洩露使用者IP地址


4、Facebook 開源 Skip 物件導向+函數語言程式設計語言


相關文章