热门浏览器将于10月开始不信任赛门铁克(Symantec)的SSL/TLS证书
最后提醒一下,赛门铁克(Symantec)发布的传统SSL/TLS证书,包括Thawte,Geotrust和RapidSSL等权威机构发布的,使用赛门铁克作为中央权威机构的证书,将从10月开始受到谷歌Chrome和MozillaFirefox的不信任,Apple产品部分不信任这些证书,并计划在2018年秋季的某些时候不信任全套证书,Digicert已经收购了证书颁发机构(CA)及其基础设施,并为所有受影响的客户免费发放替换证书,如果您已经更换了证书,则无需执行任何操作。
据估计,尽管有一年的警告,Mozilla估计仍有大约1%的百万网站仍在使用大多数网络浏览器不会再接受的SSL证书,如果您当前正在使用Firefox或Chrome,则只需访问您的网站并查看浏览器控制台(Windows和Linux中的Ctrl+Shift+J,或Mac上的Cmd+Shift+J和Firefox的Cmd+Option+J)查看您的证书是否存在不信任的危险,如果您使用FirefoxNightly或ChromeCanary,您可能已经看到标准的“无效证书”警告而不是您的网站。
为什么会这样?
当我们上次提醒用户这个6个月之前,诸如“为什么浏览器供应商关心?”和“为什么会发生这种情况?”等问题填写在帖子的评论部分。
浏览器供应商关心,因为这些证书用于验证您是否正在连接到您想要的服务器,在没有被隐藏在公钥加密和证书链的技术细节中的情况下,这可以通过让一个中央机构池来验证已颁发的SSL证书到达网站的正确所有者来实现,您的计算机上有一个存储在其中的受信任权限列表,并将它看到的每个SSL证书与此列表进行比较,这意味着,除了加密您和服务器之间传输的数据外,还可以确保您正在与正确的服务器进行通信,这可以防止诸如中间人(MITM)攻击之类的操作,其中恶意行为者试图拦截或改变用户与服务器之间的流量。
像赛门铁克(Symantec)一样,作为证书颁发机构(CA)的挑战性部分是正确地验证谁正在颁发证书,这导致了我们为何发生这种变化的原因,早在2016年,用户就注意到赛门铁克根据某些指南发布了SSL证书,并将此信息发布到Mozilla安全邮件列表中,这是赛门铁克CA的一系列问题中的最新一次,在其他主要CA之间进行了大量讨论之后,决定不信任赛门铁克并将其作为授权机构删除,如果您对进一步的技术细节感到好奇,那么大部分讨论都是通过在线提供的公共邮件列表进行的。
这是最后的提醒,因为下一个即将推出的浏览器版本将完全不信任这些SSL证书,请检查您的网站并根据需要更换新的证书!