關於 Chrome 取消信任 Symantec 證書的計劃

文 / Chrome 安全團隊 Devon O’Brien、Ryan Sleevi 和 Andrew Whalley

7 月底，Chrome 團隊與 PKI 社群共同制定了一項計劃，希望減少並最終移除對 Symantec 基礎架構的信任，此舉旨在確保使用者瀏覽網路時的安全和隱私。最終確定之前，這項計劃在 blink-dev 論壇上進行了激烈的討論。它為大家留出了合理的時間來過渡到獨立運營的新 Managed Partner Infrastructure，同時，Symantec 也將更新和重新設計其基礎架構以符合業界標準。這篇博文重申了這項計劃幷包括一個時間表，提醒網站運營者何時需要獲取新證書。

2017 年 1 月 19 日，mozilla.dev.security.policy 新聞組的一篇公開帖子將大家的目光吸引到 Symantec Corporation 旗下 PKI 發放的一系列有問題的網站身份驗證證書上。Symantec 的 PKI 業務部門管理著不同品牌名稱下的一系列證書授權機構，其中包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL。這個部門已經發放了大量不符合行業制定的 CA/瀏覽器論壇基本要求的證書。隨後的調查發現，Symantec 在不進行適當或必要監督的情況下將證書發放工作委託給多個組織，並且意識到這些組織存在安全缺陷已有一段時間。

與 2015 年的上一起事故不同，這起事故與過去幾年的一系列問題讓 Chrome 團隊對 Symantec 基礎架構以及已經或將要從這個基礎架構發放的證書的可信度失去信心。

在我們協商一致的提議公佈後，Symantec 已宣佈選擇 DigiCert 來執行這個獨立運營的 Managed Partner Infrastructure，也表露了將 PKI 業務出售給 DigiCert 的意向，希望構建一個全新的可信基礎架構。這篇博文概括介紹了過渡時間表以及現有 Symantec 客戶應採取的措施，從而最大程度減小對其使用者的影響。

網站運營者需要了解的資訊

從 Chrome 66 開始，Chrome 將移除對 Symantec 在 2016 年 6 月 1 日前所發放證書的信任。Chrome 66 目前計劃於 2018 年 3 月 15 日向 Chrome Beta 使用者釋出，於 2018 年 4 月 17 日左右向 Chrome Stable 使用者釋出。

如果您是一名網站運營者並且具有某個 Symantec 證書授權機構在 2016 年 6 月 1 日前發放的證書，則在 Chrome 66 釋出前，您需要使用 Chrome 信任的任何證書授權機構發放的新證書替換現有證書。

此外，在 2017 年 12 月 1 日之前，Symantec 會將公共可信證書的發放和管理工作過渡到 DigiCert 基礎架構，在此之後從舊的 Symantec 基礎架構發放的證書在 Chrome 中將不再受信任。

Chrome 70 大約將在 2018 年 10 月 23 日所在的那一週釋出，此版本將完全移除對 Symantec 舊基礎架構及其已經發放的所有證書的信任。這將影響來自 Symantec 根證書的所有證書，但之前已經向 Google 披露的獨立運營和審計的附屬證書授權機構發放的少量證書不受影響。

需要從 Symantec 現有根證書和中間證書獲取證書的網站運營者在 2017 年 12 月 1 日前仍可以從舊基礎架構獲取，但是，需要在 Chrome 70 之前重新替換這些證書。此外，從 Symantec 基礎架構發放的證書的有效期將限制為 13 個月。網站運營者也可以從 Chrome 當前信任的任何其他證書授權機構獲取替代證書，這些證書不受取消信任或有效期限的影響。

參考時間表

下面是此計劃一些相關日期的時間表，其中列出了各項要求和里程碑，指導網站運營者採取行動。和往常一樣，Chrome 釋出日期可能前後相差幾天，不過，大家可以在這裡跟蹤即將到來的釋出日期：

https://www.chromium.org/developers/calendar

現在至 2018 年 3 月 15 日前後

使用 Symantec 在 2016 年 6 月 1 日前發放的 TLS 伺服器證書的網站運營者需要替換這些證書。可以使用當前任何受信任的證書授權機構發放的證書替換這些證書。

   

2017 年 10 月 24 日前後

Chrome 62 釋出到 Stable 渠道，在評估受 Chrome 66 取消信任影響的證書時，將在 DevTools 中新增提醒。

   

2017 年 12 月 1 日

根據 Symantec 的說法，DigiCert 的新 Managed Partner Infrastructure 屆時將具備完全發放能力。Symantec 的舊基礎架構在此之後發放的任何證書在未來的 Chrome 更新中將停止工作。

從這一天開始，網站運營者可以從新的 Managed Partner Infrastructure 獲取 TLS 伺服器證書，這個基礎架構在 Chrome 70（2018 年 10 月 23 日前後釋出）後將繼續受到信任。

2017 年 12 月 1 日不會強制任何證書變更，只是表示網站運營者可以從這一天開始獲取不受 Chrome 70 取消信任舊基礎架構影響的 TLS 伺服器證書。

   

2018 年 3 月 15 日前後

Chrome 66 釋出到 Beta 渠道，此版本將移除對有效起始日期在 2016 年 6 月 1 日前的 Symantec 所發放證書的信任。從這一天開始，網站運營者必須使用 Symantec 在不晚於 2016 年 6 月 1 日發放的 TLS 伺服器證書，或者截至 Chrome 66 版本時任何其他受信任的證書授權機構發放的有效證書。

在 2016 年 6 月 1 日後從 Symantec 的舊基礎架構獲取證書的網站運營者將不受 Chrome 66 的影響，但是需要在下面介紹的 Chrome 70 釋出日期前獲取新證書。

   

2018 年 4 月 17 日前後

Chrome 66 釋出到 Stable 渠道。

   

2018 年 9 月 13 日前後

Chrome 70 釋出到 Beta 渠道，此版本將移除對舊 Symantec 來源的基礎架構的信任。這不會影響來自新 Managed Partner Infrastructure 的任何證書，Symantec 表示此基礎架構將於 2017 年 12 月 1 日投入使用。

只有 Symantec 的舊基礎架構發放的 TLS 伺服器證書受取消信任的影響，無論這些證書的發放日期如何，屆時都將無法使用。

   

2018 年 10 月 23 日前後

Chrome 70 釋出到 Stable 渠道。

檢視全文及文中連結，請點選文末“閱讀原文”。