《Google Chrome正式宣布将不再信任赛门铁克所有SSL证书》的误读与正解

2017年08月02日 22:53 次阅读 稿源:cnBeta.COM 条评论

近几日,《Google Chrome正式宣布将不再信任赛门铁克所有SSL证书》一文在互联网快速传播,笔者作为一名数字证书相关理论与应用的研究者,经向Symantec系数字证书服务提供方(CA、CA代理商等)多方核实,《Google Chrome正式宣布将不再信任赛门铁克所有SSL证书》存在以偏概全等误读的现象,现正解如下。

当前,Symantec所有SSL证书均能正常使用。Symantec用以SSL证书签发的PKI系统将于近期进行安全升级,并预期最迟不晚于2017年12月上线。Google重视并认可Symantec此次更新,为有效区分新老系统所签发的SSL证书,Google计划在2018年10月23号后发布的Chrome版本中,不再信任Symantec原PKI系统签发的证书,故“不再信任赛门铁克所有SSL证书”说法有误。

原文“2015年12月Google发布公告称Chrome、Android及其他Google产品将不再信任赛门铁克(Symantec)旗下的“Class 3 Public Primary CA”根证书。”原VeriSign现Symantec根证书“Class 3 Public Primary CA”(通用名:Class 3 Public Primary Certification Authority,习惯用名:VeriSign Class 3 Public Primary CA)有三个不同有效期限的版本,这三个版本的数字证书部分参数如下:

1、序号:‎70bae41d10d92934b638ca7b03ccbabf,哈希值(SHA1):‎742c3192e607e424eb4549542be1bbc53e6174e2,有效期限(UTC):19960129-20280801

2、序号:‎00e49efdf33ae80ecfa5113e19a4240232,哈希值(SHA1):‎‎4f65566336db6598581d584a596c87934d5f2ab4,有效期限(UTC):19960129-20040107

3、序号:‎3c9131cb1ff6d01b0e9ab8d044bf12be,哈希值(SHA1):‎a1db6393916f17e4185509400415c70240b0ae6b,有效期限(UTC):19960129-20280802

目前,包括Google、Microsoft、Adobe、Mozilla等各大厂商均已移除上述后两个版本的根证书的信任(注:移除/取消信任和不信任在CA领域中非同一概念),第一个版本的根证书仍有效,当前Symantec系Symantec品牌的代码签名和SSL数字证书,不论是OV等级还是EV等级,所签发的证书信任链仍起始于上述第一个版本的根证书,所以,Google等不再信任““Class 3 Public Primary CA”根证书”亦以偏概全,不实,极易给用户带来误解。

原文还提及“赛门铁克已同意该提案外媒报道称其已经在考虑出售CA业务”。

unnamed.png

早在2016年初,笔者以数字证书爱好者的身份与沃通(WoSign)官人交流时就已提及,早在2013年,Symantec就被曝欲出售CA业务,尽管这距Symantec并购VeriSign才刚过去3年。因此,“赛门铁克已同意该提案外媒报道称其已经在考虑出售CA业务”非肇始于此番Symantec被Google采取相关措施,可能的情况是经此事件,Symantec或坚定其出售CA业务的决心,仅此而已。

为大家梳理几个重要的时间节点:

1、2016年6月1日(均为UTC时间,下同)始,Symantec SSL证书均内置有Certificate Transparency(证书透明度);

2、2017年12月1日始,Symantec新PKI服务生效;

3、2018年4月17日,Google Chrome V66将不再信任不支持证书透明度的SSL数字证书(注:此项规则适用于所有CA,不针对Symantec);

4、2018年10月23日,Google Chrome V70将不再信任Symantec当前PKI下签发的数字证书。

文/ikimi

对文章打分

《Google Chrome正式宣布将不再信任赛门铁克所有SSL证书》的误读与正解

1 (8%)
已有 条意见

    最新资讯

    加载中...

    编辑精选

    加载中...

    热门评论

      Top 10

      招聘

      created by ceallan