​《谷歌Chrome正式宣布将不再信任赛门铁克所有SSL证书》的误读与正解

局长
 局长
发布于 2017年08月03日
收藏 2

近几日,《Google Chrome 正式宣布将不再信任赛门铁克所有 SSL 证书》一文在互联网快速传播,笔者作为一名数字证书相关理论与应用的研究者,经向 Symantec 系数字证书服务提供方(CA、CA 代理商等)多方核实,《Google Chrome 正式宣布将不再信任赛门铁克所有 SSL 证书》存在以偏概全等误读的现象,现正解如下。

当前,Symantec 所有 SSL 证书均能正常使用。Symantec 用以 SSL 证书签发的 PKI 系统将于近期进行安全升级,并预期最迟不晚于 2017 年 12 月上线。Google 重视并认可 Symantec 此次更新,为有效区分新老系统所签发的 SSL 证书,Google 计划在 2018 年 10 月 23 号后发布的 Chrome 版本中,不再信任 Symantec 原 PKI 系统签发的证书,故“不再信任赛门铁克所有 SSL 证书”说法有误。

原文“2015 年 12 月 Google 发布公告称 Chrome、Android 及其他 Google 产品将不再信任赛门铁克(Symantec)旗下的“Class 3 Public Primary CA”根证书。”原 VeriSign 现 Symantec 根证书“Class 3 Public Primary CA”(通用名:Class 3 Public Primary Certification Authority,习惯用名:VeriSign Class 3 Public Primary CA)有三个不同有效期限的版本,这三个版本的数字证书部分参数如下:

  1. 序号:‎70bae41d10d92934b638ca7b03ccbabf,哈希值(SHA1):‎742c3192e607e424eb4549542be1bbc53e6174e2,有效期限(UTC):19960129-20280801

  2. 序号:‎00e49efdf33ae80ecfa5113e19a4240232,哈希值(SHA1):‎‎4f65566336db6598581d584a596c87934d5f2ab4,有效期限(UTC):19960129-20040107

  3. 序号:‎3c9131cb1ff6d01b0e9ab8d044bf12be,哈希值(SHA1):‎a1db6393916f17e4185509400415c70240b0ae6b,有效期限(UTC):19960129-20280802

目前,包括 Google、Microsoft、Adobe、Mozilla 等各大厂商均已移除上述后两个版本的根证书的信任(注:移除/取消信任和不信任在 CA 领域中非同一概念),第一个版本的根证书仍有效,当前 Symantec 系 Symantec 品牌的代码签名和 SSL 数字证书,不论是 OV 等级还是 EV 等级,所签发的证书信任链仍起始于上述第一个版本的根证书,所以,Google 等不再信任“‘Class 3 Public Primary CA’根证书”亦以偏概全,不实,极易给用户带来误解。

原文还提及“赛门铁克已同意该提案外媒报道称其已经在考虑出售 CA 业务”。

早在 2016 年初,笔者以数字证书爱好者的身份与沃通(WoSign)官方人员交流时就已提及,早在 2013 年,Symantec 就被曝欲出售 CA 业务,尽管这距 Symantec 并购 VeriSign 才刚过去 3 年。因此,“赛门铁克已同意该提案外媒报道称其已经在考虑出售 CA 业务”非肇始于此番 Symantec 被 Google 采取相关措施,可能的情况是经此事件,Symantec 或坚定其出售 CA 业务的决心,仅此而已。

为大家梳理几个重要的时间节点:

  1. 2016 年 6 月 1 日(均为 UTC 时间,下同)始,Symantec SSL 证书均内置有 Certificate Transparency(证书透明度);

  2. 2017 年 12 月 1 日始,Symantec 新 PKI 服务生效;

  3. 2018 年 4 月 17 日,Google Chrome V66 将不再信任不支持证书透明度的 SSL 数字证书(注:此项规则适用于所有 CA,不针对 Symantec);

  4. 2018 年 10 月 23 日,Google Chrome V70 将不再信任 Symantec 当前 PKI 下签发的数字证书。

来自:cnBeta.COM

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:​《谷歌Chrome正式宣布将不再信任赛门铁克所有SSL证书》的误读与正解
加载中

精彩评论

红薯的小黄瓜
红薯的小黄瓜
上个qq截图是什么意思?谷歌和赛门铁克在用qq聊天?

最新评论(9

aaic
aaic
最后告诉人家你胞姐的名字了么?
而立少年
而立少年
mark
zigzagroad
zigzagroad

引用来自“zigzagroad”的评论

还是老外厉害,随便一个IT相关的都能搞成一个产业链分支。

引用来自“nihaoshia”的评论

应该是美国佬厉害

引用来自“zigzagroad”的评论

嗯,这个问题上 是的

引用来自“阿信sxq”的评论

我们的gfw也促进了穿墙打洞的技术分支的繁荣
说的极是
阿信sxq
阿信sxq

引用来自“zigzagroad”的评论

还是老外厉害,随便一个IT相关的都能搞成一个产业链分支。

引用来自“nihaoshia”的评论

应该是美国佬厉害

引用来自“zigzagroad”的评论

嗯,这个问题上 是的
我们的gfw也促进了穿墙打洞的技术分支的繁荣
红薯的小黄瓜
红薯的小黄瓜
上个qq截图是什么意思?谷歌和赛门铁克在用qq聊天?
zigzagroad
zigzagroad

引用来自“zigzagroad”的评论

还是老外厉害,随便一个IT相关的都能搞成一个产业链分支。

引用来自“nihaoshia”的评论

应该是美国佬厉害
嗯,这个问题上 是的
你好是啊
你好是啊

引用来自“zigzagroad”的评论

还是老外厉害,随便一个IT相关的都能搞成一个产业链分支。
应该是美国佬厉害
zigzagroad
zigzagroad
还是老外厉害,随便一个IT相关的都能搞成一个产业链分支。
滔哥
滔哥
所以学会读原文很重要……不要太相信媒体编辑
返回顶部
顶部