关于 Chrome 取消信任 Symantec 证书的计划

文 / Chrome 安全团队 Devon O’Brien、Ryan Sleevi 和 Andrew Whalley

7 月底，Chrome 团队与 PKI 社区共同制定了一项计划，希望减少并最终移除对 Symantec 基础架构的信任，此举旨在确保用户浏览网络时的安全和隐私。最终确定之前，这项计划在 blink-dev 论坛上进行了激烈的讨论。它为大家留出了合理的时间来过渡到独立运营的新 Managed Partner Infrastructure，同时，Symantec 也将更新和重新设计其基础架构以符合业界标准。这篇博文重申了这项计划并包括一个时间表，提醒网站运营者何时需要获取新证书。

2017 年 1 月 19 日，mozilla.dev.security.policy 新闻组的一篇公开帖子将大家的目光吸引到 Symantec Corporation 旗下 PKI 发放的一系列有问题的网站身份验证证书上。Symantec 的 PKI 业务部门管理着不同品牌名称下的一系列证书授权机构，其中包括 Thawte、VeriSign、Equifax、GeoTrust 和 RapidSSL。这个部门已经发放了大量不符合行业制定的 CA/浏览器论坛基本要求的证书。随后的调查发现，Symantec 在不进行适当或必要监督的情况下将证书发放工作委托给多个组织，并且意识到这些组织存在安全缺陷已有一段时间。

与 2015 年的上一起事故不同，这起事故与过去几年的一系列问题让 Chrome 团队对 Symantec 基础架构以及已经或将要从这个基础架构发放的证书的可信度失去信心。

在我们协商一致的提议公布后，Symantec 已宣布选择 DigiCert 来运行这个独立运营的 Managed Partner Infrastructure，也表露了将 PKI 业务出售给 DigiCert 的意向，希望构建一个全新的可信基础架构。这篇博文概括介绍了过渡时间表以及现有 Symantec 客户应采取的措施，从而最大程度减小对其用户的影响。

网站运营者需要了解的信息

从 Chrome 66 开始，Chrome 将移除对 Symantec 在 2016 年 6 月 1 日前所发放证书的信任。Chrome 66 目前计划于 2018 年 3 月 15 日向 Chrome Beta 用户发布，于 2018 年 4 月 17 日左右向 Chrome Stable 用户发布。

如果您是一名网站运营者并且具有某个 Symantec 证书授权机构在 2016 年 6 月 1 日前发放的证书，则在 Chrome 66 发布前，您需要使用 Chrome 信任的任何证书授权机构发放的新证书替换现有证书。

此外，在 2017 年 12 月 1 日之前，Symantec 会将公共可信证书的发放和管理工作过渡到 DigiCert 基础架构，在此之后从旧的 Symantec 基础架构发放的证书在 Chrome 中将不再受信任。

Chrome 70 大约将在 2018 年 10 月 23 日所在的那一周发布，此版本将完全移除对 Symantec 旧基础架构及其已经发放的所有证书的信任。这将影响来自 Symantec 根证书的所有证书，但之前已经向 Google 披露的独立运营和审计的附属证书授权机构发放的少量证书不受影响。

需要从 Symantec 现有根证书和中间证书获取证书的网站运营者在 2017 年 12 月 1 日前仍可以从旧基础架构获取，但是，需要在 Chrome 70 之前重新替换这些证书。此外，从 Symantec 基础架构发放的证书的有效期将限制为 13 个月。网站运营者也可以从 Chrome 当前信任的任何其他证书授权机构获取替代证书，这些证书不受取消信任或有效期限的影响。

参考时间表

下面是此计划一些相关日期的时间表，其中列出了各项要求和里程碑，指导网站运营者采取行动。和往常一样，Chrome 发布日期可能前后相差几天，不过，大家可以在这里跟踪即将到来的发布日期：

https://www.chromium.org/developers/calendar

现在至 2018 年 3 月 15 日前后

使用 Symantec 在 2016 年 6 月 1 日前发放的 TLS 服务器证书的网站运营者需要替换这些证书。可以使用当前任何受信任的证书授权机构发放的证书替换这些证书。

   

2017 年 10 月 24 日前后

Chrome 62 发布到 Stable 渠道，在评估受 Chrome 66 取消信任影响的证书时，将在 DevTools 中添加提醒。

   

2017 年 12 月 1 日

根据 Symantec 的说法，DigiCert 的新 Managed Partner Infrastructure 届时将具备完全发放能力。Symantec 的旧基础架构在此之后发放的任何证书在未来的 Chrome 更新中将停止工作。

从这一天开始，网站运营者可以从新的 Managed Partner Infrastructure 获取 TLS 服务器证书，这个基础架构在 Chrome 70（2018 年 10 月 23 日前后发布）后将继续受到信任。

2017 年 12 月 1 日不会强制任何证书变更，只是表示网站运营者可以从这一天开始获取不受 Chrome 70 取消信任旧基础架构影响的 TLS 服务器证书。

   

2018 年 3 月 15 日前后

Chrome 66 发布到 Beta 渠道，此版本将移除对有效起始日期在 2016 年 6 月 1 日前的 Symantec 所发放证书的信任。从这一天开始，网站运营者必须使用 Symantec 在不晚于 2016 年 6 月 1 日发放的 TLS 服务器证书，或者截至 Chrome 66 版本时任何其他受信任的证书授权机构发放的有效证书。

在 2016 年 6 月 1 日后从 Symantec 的旧基础架构获取证书的网站运营者将不受 Chrome 66 的影响，但是需要在下面介绍的 Chrome 70 发布日期前获取新证书。

   

2018 年 4 月 17 日前后

Chrome 66 发布到 Stable 渠道。

   

2018 年 9 月 13 日前后

Chrome 70 发布到 Beta 渠道，此版本将移除对旧 Symantec 来源的基础架构的信任。这不会影响来自新 Managed Partner Infrastructure 的任何证书，Symantec 表示此基础架构将于 2017 年 12 月 1 日投入使用。

只有 Symantec 的旧基础架构发放的 TLS 服务器证书受取消信任的影响，无论这些证书的发放日期如何，届时都将无法使用。

   

2018 年 10 月 23 日前后

Chrome 70 发布到 Stable 渠道。

查看全文及文中链接，请点击文末“阅读原文”。