今天在浏览网站的时候遇到如下报警信息:

  1. The SSL certificate used to load resources from https://xxx.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.

于是查询了对应的文档,将其直接goole翻译贴过来:

Chrome计划不再信任Symantec证书

这篇文章是对blink-dev邮件列表已经敲定的计划的更广泛宣布。

更新日期:1/31/18:发布更新以进一步阐明13个月的有效性限制

在2017年7月底,Chrome团队和PKI社区聚在一起,计划减少并最终消除对赛门铁克基础设施的信任,以便在浏览网页时维护用户的安全和隐私。这个计划是在在blink-dev论坛进行重大辩论之后提出的,它给予网站运营商合理得过渡时间来更换新的证书,以及赛门铁克重新设计其基础架构并遵守行业标准。

2017年1月19日,公开发布到mozilla.dev.security.policy新闻组提请注意赛门铁克公司PKI发布的一系列有问题的网站身份验证证书。赛门铁克的PKI业务以Thawte,VeriSign,Equifax,GeoTrust和RapidSSL等不同品牌的一系列证书颁发机构颁发了许多不符合业界开发的CA/浏览器论坛基线要求的证书。在随后的调查中发现,赛门铁克委托几家有能力的组织在没有适当或必要的监督的情况下颁发证书,并且在一段时间内意识到这些组织存在安全缺陷。

这一事件与2015年之前的事件截然不同,这是过去几年持续不断的问题模式之一,导致Chrome团队对赛门铁克基础架构的可信赖性失去信心。

在我们商定的提案分发后,赛门铁克宣布选择DigiCert运行这一独立运营的托管合作伙伴基础架构,以及他们打算将其PKI业务出售给DigiCert,以替代构建新的可信基础架构。本文概述了该过渡的时间表,以及赛门铁克现有客户应采取的措施,以尽量减少对用户的干扰。

网站运营商的信息

从Chrome 66开始,Chrome将取消对2016年6月1日之前发布的Symantec颁发的证书的信任。Chrome 66目前计划于2018年3月15日发布到Chrome Beta用户,并将于2018年4月17日发布到Chrome Stable用户。

如果您是拥有由Symantec CA在2016年6月1日之前颁发的证书的网站运营商,那么在Chrome 66发布之前,您需要用来自Chrome信任的任何证书颁发机构的新证书替换现有证书。

此外,赛门铁克将于2017年12月1日前将公众信任证书的颁发和运营转换为DigiCert基础架构,并且在此日期之后从旧的Symantec基础架构颁发的证书将不会在Chrome中受信任。

2018年10月23日左右,Chrome 70将会发布,这将彻底消除赛门铁克旧基础设施以及它颁发的所有证书的信任。这将影响链接到赛门铁克根目录的任何证书,但以前向Google公开的独立运营和受审计的从属CA颁发的小数字除外。

虽然这些证书需要在Chrome 70之前重新替换,但需要从赛门铁克现有的根证书和中级证书获取证书的网站运营商可能会从旧的基础架构中获得证书。此外,使用赛门铁克的验证信息基础设施将有效期限为13个月。或者,网站运营商可以从Chrome当前信任的任何其他证书颁发机构获得替代证书,这些证书不受此不信任或有效期限制的限制。

参考时间表

以下是与此计划相关的相关日期的时间表,该计划将各种要求和里程碑提炼为网站运营商可操作的一组信息。与往常一样,Chrome的发布日期可能会有所不同,但即将发布的日期可以在此处进行追踪

日期 事件
现在~2018年3月15日 2016年6月1日前发布的使用Symantec发布的TLS服务器证书的网站运营商应替换这些证书。这些证书可以被任何当前信任的CA取代。
~2017年10月24日 Chrome 62发布到Stable,在评估将受Chrome 66不信任影响的证书时,将在DevTools中添加警报。
2017年12月1日 根据赛门铁克的说法,DigiCert新的“托管合作伙伴基础架构”在这一点上将能够完全发布。此后,赛门铁克旧基础设施颁发的任何证书都将在未来的Chrome更新中停止运行。
从此日起,网站运营商可以从新的托管合作伙伴基础架构获得TLS服务器证书,这些证书将在Chrome 70(〜2018年10月23日)之后继续受信任。
2017年12月1日并未强制要求更改证书,但为网站运营商提供了获得TLS服务器证书的机会,这些证书不会受到Chrome 70对旧基础架构不信任的影响。
~2018年3月15日 Chrome 66已发布到测试版,该版本将在2016年6月1日之前取消对赛门铁克颁发的证书的信任度。截至此日,网站运营商必须使用6月或6月之后颁发的Symantec颁发的TLS服务器证书2016年1月1日或从Chrome 66开始的任何其他可信CA颁发的当前有效证书。
在2016年6月1日之后从赛门铁克旧基础设施获得证书的网站运营商不会受到Chrome 66的影响,但需要通过下面描述的Chrome 70日期获得新证书。
~2018年4月17日 Chrome 66发布到Stable。
~2018年9月13日 Chrome 70发布到Beta版,这将消除旧的基于赛门铁克的基础架构的信任。这不会影响任何证书链接到新的托管合作伙伴基础设施,赛门铁克表示将于2017年12月1日前投入运营。
无论颁发日期如何,只有赛门铁克旧基础设施颁发的TLS服务器证书才会受到这种不信任的影响。
~2018年10月23日 Chrome 70发布到Stable。

The SSL certificate used to load resources from xxx will be distrusted in M70.的更多相关文章

  1. How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查)

    How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查) **** ...

  2. SSL certificate problem unable to get local issuer certificate解决办法

    SSL certificate problem unable to get local issuer certificate 解决办法: 下载:ca-bundle.crt 将它放在自己的wamp或者x ...

  3. How To Set Up Apache with a Free Signed SSL Certificate on a VPS

    Prerequisites Before we get started, here are the web tools you need for this tutorial: Google Chrom ...

  4. How To Create a SSL Certificate on Apache for CentOS 6

    About Self-Signed Certificates 自签证书.一个SSL证书,是加密网站的信息,并创建更安全的链接的一种方式.附加地,证书可以给网站浏览者显示VPS的的身份证明信息.如果一个 ...

  5. Configure custom SSL certificate for RDP on Windows Server 2012 in Remote Administration mode

    Q: So the release of Windows Server 2012 has removed a lot of the old Remote Desktop related configu ...

  6. Load resources from classpath in Java--reference

    In general classpath is the path where JVM can find .class files and resources of your application a ...

  7. (转)How to renew your Apple Push Notification Push SSL Certificate

    转自:https://blog.serverdensity.com/how-to-renew-your-apple-push-notification-push-ssl-certificate/ It ...

  8. 执行Git命令时出现 SSL certificate problem 的解决办法

    比如我在windows下用git clone gitURL 就提示  SSL certificate problem: self signed certificate 这种问题,在windows下出现 ...

  9. last error : SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate veri

    今天在用搜狐提供的邮件群发系统的sdk,做发送邮件的测试时,提示: last error : SSL certificate problem, verify that the CA cert is O ...

随机推荐

  1. POJ 3829 Seat taking up is tough(——只是题目很长的模拟)

    题目链接: http://poj.org/problem?id=3829 题意描述: 输入矩阵的大小n和m,以及来占位置的人数k 输入n*m的教室座位矩阵,每个值表示该座位的满意度 输入每个人来占位置 ...

  2. 【转载】keil5中加入STM32F10X_HD,USE_STDPERIPH_DRIVER的原因

    初学STM32,在RealView MDK 环境中使用STM32固件库建立工程时,初学者可能会遇到编译不通过的问题.出现如下警告或错误提示: warning: #223-D: function &qu ...

  3. DEDECMS 留言薄模块的使用方法

    一.留言薄的安装 留言薄的安装过程和其他插件一样,首先我们进入后台模块管理列表,点击其对应的"安装": 以上步骤,我们完成了留言薄插件的安装. 二.留言薄的卸载 留言薄的卸载,同样 ...

  4. nginx中location匹配顺序

    一.location语法 语法: Syntax: location [ = | ~ | ~* | ^~ ] uri { ... } location @name { ... } Default: - ...

  5. Python Django连接(听明白了是连接不是创建!)Mysql已存在的数据库

    再声明一次!是连接不是创建!网上的一些人难道连接和创建这俩词都弄不懂就在那里瞎写一些文章! (Python Django连接存在的数据库) Python连接存在的数据库-------MySql 1.首 ...

  6. __getattr__动态获取接口

    # -*- coding:utf-8 -*- #在看廖雪峰的python3.5教学时,看到面向对象高级编程_定义类 https://www.liaoxuefeng.com/wiki/001431608 ...

  7. maven将本地jar包导入本地仓库

    从maven中央仓库下载下来的jar包手动导入本地库,如下图 以下其中maven的dependency <dependency> <groupId>org.molgenis&l ...

  8. dump、libeay32.dll、gsoap、webserver多线程调用gsoap产生崩溃

    问题:调用webserver接口出现dump文件,dump文件指向libeay32.dll有问题,产生崩溃的原因是gsoap多线程问题,多线程调用时需要程序启动的地方调用如下函数进行多线程初始化: i ...

  9. tensorflow.python.framework.errors_impl.OutOfRangeError: FIFOQueue

    tensorflow.python.framework.errors_impl.OutOfRangeError: FIFOQueue 原创文章,请勿转载哦~!! 觉得有用的话,欢迎一起讨论相互学习~F ...

  10. 纯静态界面中(html)中通过js调用dll中的方法从数据库中读取数据

    最近接到一个离职员工的任务,一个搭好框架的ERP系统,看了两天,说一下看到的东西,整个项目目录中我没发现一个.aspx后缀的文件,全是静态HTML文件,之后发现他用的jquery简直看的头疼,不过大概 ...