今年三月,谷歌的Chrome浏览器团队提出赛门铁克违反了与SSL证书颁发有关的行业标准。为了找出一个解决方案,谷歌、赛门铁克和网络社区的其他成员在过去的4个月中,一直在就这个问题进行协商和讨论。
7月27日晚,Chrome浏览器和赛门铁克宣布了他们将向前推进的最终计划,最初拟定的2017年8月8日的截止日期不再适用。
如果你的网站正在使用赛门铁克的SSL证书,请阅读此文,以弄明白Chrome浏览器的未来版本是否会影响你的特殊的证书,以及如何在一切生效之前(免费地)替换那个证书。此文适用于赛门铁克客户的人数远低于最初提出的人数,并且此文对如何修复问题(如果有的话)以及如何避免问题提出了指导。
请注意这篇文章只针对使用了赛门铁克证书的网站所有者和(或)管理者。如果你不是每天都在使用网络和Chrome浏览器,那么你就无需做任何改变。
我会受到影响吗?
如果你现在是赛门铁克证书业务的用户,或计划在2017年购买一个他们的证书,那么这可能会对你产生影响。
赛门铁克是证书颁发机构的一个巨头,因此有相当多的赛门铁克证书将会受到影响。注意赛门铁克经营着多个品牌,因此以下所有的这些证书都会受到影响:
• Symantec
• GeoTrust
• GThawte
• RapidSSL
另外,Mozilla Firefox也将采取类似的行动,但现在他们还没有制定出最终计划。
无需惊慌——直到2018年,任何改变都不会生效,因此你仍有足够的应对时间。
Chrome移除对赛门铁克证书的信任分为两个阶段。第一个阶段将影响2016年6月1日之前颁发的证书,第二个阶段将影响所有从赛门铁克公司当前的根证书颁发的证书——包括尚未颁发的证书。
为了遵守谷歌的计划,你需要通过一个免费的重新发行和重新安装过程来替换现有的赛门铁克证书。而在这个过程中,你将能够遇到最少的中断。
注意:我们的客户将会收到邮件更新,通知他们需要采取的行动。如果你不确定你是否会受此影响,或者什么证书将会受到影响,那么你可以从邮件中找到答案。如果你是在另一个供应商中购买的证书,那么请与他们进行确认,看你的证书是否会受到影响。
为什么谷歌不信任赛门铁克证书?
由于赛门铁克公司违反了行业标准,谷歌Chrome浏览器决定,作为其SSL产品受信任的根本,赛门铁克当前的根证书需要被重新考虑。一系列测试证书被错误颁发,使得谷歌有理由怀疑所有的赛门铁克证书。
我们认为谷歌Chrome浏览器反应过大,但赛门铁克和SSL商店已经拟定了一个计划,以便快速指导客户,而在整个过程中,你的日常业务将遇到最少的中断。
由于谷歌所处的位置,许多赛门铁克的SSL证书最终将不再被Chrome浏览器所信任,如果使用HTTPS协议的用户没有采取适当的措施,那么他们还会收到报错。
Chrome对赛门铁克问题证书取消信任的计划分为两步。第一个阶段从2018年4月开始,第二个阶段在2018年10月(我们将在以下部分详细讲述这些变化的细节)。
然而,注意通过使用不同的技术架构,赛门铁克能够持续颁发可信证书。
赛门铁克首先会与另一个证书颁发机构(CA)合作,该颁发机构将从今年的12月开始以赛门铁克的名义颁发证书。在赛门铁克向浏览器提交其新的根证书期间,这个合作伙伴将继续处理证书颁发相关事宜。
这将允许赛门铁克在Chrome浏览器宣布做出改变的整个期间,不间断地继续颁发可信证书。
长期计划使得赛门铁克能够开始颁发他们自己的证书,由此可以预见,赛门铁克新的根证书将广泛分布于各种设备中。
接下来的部分我们将对截止日期进行总结。
我需要在什么时候采取行动?
Chrome浏览器对现有赛门铁克证书逐渐失去信任的过程将分为两个阶段,分别以Chrome 66版本和Chrome 70版本的发布为节点。目前的版本是61。
Chrome 66发布时(预计在2018年4月中旬),如果未采取适当措施,所有在2016年6月1日前颁发的赛门铁克证书将不再被信任。这意味着Chrome 66版本以上的用户将不能与你的网站建立一个HTTPS连接,并将收到一个警告。
第二个阶段以Chrome 70的发布为节点(预计在2018年10月底)。在这个时间点,如果未采取适当措施,所有从当前的根证书颁发的赛门铁克证书将不再被信任。
根据你当前证书颁发和失效日期的不同,你可能需要替换你的赛门铁克证书,以在此期间维持证书的可信。这可能取决于赛门铁克公司的未来PKI改进措施的时间线。
如何准备?
为使整个事件一目了然,我们对这些信息进行了分解并制作成了一个时间表。
Chrome不再信任赛门铁克的两个阶段是截止日期,它们被加粗了,以便清楚显示一般信息和可操作步骤的区别。
你也可以下载Chrome Canary这个早期版本,它可以允许你预览即将出现的新功能。预计在Chrome 66将在明年1月推送到Canary,这使得你能够拥有访问你的网站的能力,而这种能力可以在明年1月于Chrome 66稳定版中得到呈现。从Chrome 66的稳定版本开始,在遇到一个将不会被Chrome 66所信任的证书时,一条信息将会被添加到开发人员工具面板中。开发人员可以使用这一功能来确认他们网站上将会受到影响的证书。
我们的建议
为减少中断和所需要开展的工作,我们建议采取一些措施:
如果你的证书在2017年12月前失效……
我们建议你在12月前更新(而不是重新颁发)你的证书,这将允许你从假日季节到2018年10月期间都能拥有一个可信证书,在这段时间,所有颁发自赛门铁克现有根证书的证书都会出现问题,并且需要进行替换。
如果你的证书在12月失效……
我们建议,为避免中断,替换你的证书。当前,赛门铁克期望他们的合伙证书颁发机构能够在12月1日颁发证书(一个星期五)。如果你在那天之后重新颁发和替换证书,那么你很有可能在证书自然失效前永远都不再需要替换你的证书了。
然而,注意可能会发生延迟,这会使赛门铁克错过其预估的12月1日,同时,那时异乎寻常的大量的颁发可能会造成技术问题。
如果出现这种情况,并且你现在的证书的失效日期过于接近那个日期,那么你的证书可能会有中断的风险。“假期冻结”可能也将不允许你在这个月替换证书。
如果你确实需要在赛门铁克的合伙证书颁发机构准备好颁发证书之前替换你的证书,那么你需要在Chrome 70版本发布之前(预计在2018年10月底)再次更换证书。
如果你的证书在2017年12月31日之后失效……
我们建议你,直到赛门铁克的合伙证书颁发机构开始颁发证书(预计在2017年12月1日),你才替换你的证书。
在这之后,你就可以按照需求开始重新颁发和替换证书。如果你的证书在2018年3月30日之前失效,那么早点更新你的证书将会是最简单的做法。
这将允许你只替换一次证书。由赛门铁克的合伙证书颁发机构所颁发的证书将不会受到Chrome改变的影响,在自然失效前也就不需要进行替换。
特殊情况:如果你的证书颁发于2016年6月1日之前,而又在2018年4月17日之后失效……
你处于一种特殊的情况。为了保持Chrome的可信,你必须在Chrome 66发布之前(预计在2018年4月17日)重新颁发和替换你的证书。
然而,你应当等到2017年12月1日之后再重新颁发你的证书。因为在这一天,赛门铁克的合伙证书颁发机构将开始颁发证书,只要你等到这一天,你就只需要替换一次你的证书。
如果你在赛门铁克的合伙证书颁发机构颁发证书之前重新颁发证书,那么你的证书将来自于赛门铁克当前的根证书,并且需要在2018年10月之前进行替换。
