The SSL certificate used to load resources from xxx will be distrusted in M70.
今天在浏览网站的时候遇到如下报警信息:
The SSL certificate used to load resources from https://xxx.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
于是查询了对应的文档,将其直接goole翻译贴过来:
Chrome计划不再信任Symantec证书
这篇文章是对blink-dev邮件列表已经敲定的计划的更广泛宣布。
更新日期:1/31/18:发布更新以进一步阐明13个月的有效性限制
在2017年7月底,Chrome团队和PKI社区聚在一起,计划减少并最终消除对赛门铁克基础设施的信任,以便在浏览网页时维护用户的安全和隐私。这个计划是在在blink-dev论坛进行重大辩论之后提出的,它给予网站运营商合理得过渡时间来更换新的证书,以及赛门铁克重新设计其基础架构并遵守行业标准。
2017年1月19日,公开发布到mozilla.dev.security.policy新闻组提请注意赛门铁克公司PKI发布的一系列有问题的网站身份验证证书。赛门铁克的PKI业务以Thawte,VeriSign,Equifax,GeoTrust和RapidSSL等不同品牌的一系列证书颁发机构颁发了许多不符合业界开发的CA/浏览器论坛基线要求的证书。在随后的调查中发现,赛门铁克委托几家有能力的组织在没有适当或必要的监督的情况下颁发证书,并且在一段时间内意识到这些组织存在安全缺陷。
这一事件与2015年之前的事件截然不同,这是过去几年持续不断的问题模式之一,导致Chrome团队对赛门铁克基础架构的可信赖性失去信心。
在我们商定的提案分发后,赛门铁克宣布选择DigiCert运行这一独立运营的托管合作伙伴基础架构,以及他们打算将其PKI业务出售给DigiCert,以替代构建新的可信基础架构。本文概述了该过渡的时间表,以及赛门铁克现有客户应采取的措施,以尽量减少对用户的干扰。
网站运营商的信息
从Chrome 66开始,Chrome将取消对2016年6月1日之前发布的Symantec颁发的证书的信任。Chrome 66目前计划于2018年3月15日发布到Chrome Beta用户,并将于2018年4月17日发布到Chrome Stable用户。
如果您是拥有由Symantec CA在2016年6月1日之前颁发的证书的网站运营商,那么在Chrome 66发布之前,您需要用来自Chrome信任的任何证书颁发机构的新证书替换现有证书。
此外,赛门铁克将于2017年12月1日前将公众信任证书的颁发和运营转换为DigiCert基础架构,并且在此日期之后从旧的Symantec基础架构颁发的证书将不会在Chrome中受信任。
2018年10月23日左右,Chrome 70将会发布,这将彻底消除赛门铁克旧基础设施以及它颁发的所有证书的信任。这将影响链接到赛门铁克根目录的任何证书,但以前向Google公开的独立运营和受审计的从属CA颁发的小数字除外。
虽然这些证书需要在Chrome 70之前重新替换,但需要从赛门铁克现有的根证书和中级证书获取证书的网站运营商可能会从旧的基础架构中获得证书。此外,使用赛门铁克的验证信息基础设施将有效期限为13个月。或者,网站运营商可以从Chrome当前信任的任何其他证书颁发机构获得替代证书,这些证书不受此不信任或有效期限制的限制。
参考时间表
以下是与此计划相关的相关日期的时间表,该计划将各种要求和里程碑提炼为网站运营商可操作的一组信息。与往常一样,Chrome的发布日期可能会有所不同,但即将发布的日期可以在此处进行追踪。
日期 | 事件 |
---|---|
现在~2018年3月15日 | 2016年6月1日前发布的使用Symantec发布的TLS服务器证书的网站运营商应替换这些证书。这些证书可以被任何当前信任的CA取代。 |
~2017年10月24日 | Chrome 62发布到Stable,在评估将受Chrome 66不信任影响的证书时,将在DevTools中添加警报。 |
2017年12月1日 | 根据赛门铁克的说法,DigiCert新的“托管合作伙伴基础架构”在这一点上将能够完全发布。此后,赛门铁克旧基础设施颁发的任何证书都将在未来的Chrome更新中停止运行。 从此日起,网站运营商可以从新的托管合作伙伴基础架构获得TLS服务器证书,这些证书将在Chrome 70(〜2018年10月23日)之后继续受信任。 2017年12月1日并未强制要求更改证书,但为网站运营商提供了获得TLS服务器证书的机会,这些证书不会受到Chrome 70对旧基础架构不信任的影响。 |
~2018年3月15日 | Chrome 66已发布到测试版,该版本将在2016年6月1日之前取消对赛门铁克颁发的证书的信任度。截至此日,网站运营商必须使用6月或6月之后颁发的Symantec颁发的TLS服务器证书2016年1月1日或从Chrome 66开始的任何其他可信CA颁发的当前有效证书。 在2016年6月1日之后从赛门铁克旧基础设施获得证书的网站运营商不会受到Chrome 66的影响,但需要通过下面描述的Chrome 70日期获得新证书。 |
~2018年4月17日 | Chrome 66发布到Stable。 |
~2018年9月13日 | Chrome 70发布到Beta版,这将消除旧的基于赛门铁克的基础架构的信任。这不会影响任何证书链接到新的托管合作伙伴基础设施,赛门铁克表示将于2017年12月1日前投入运营。 无论颁发日期如何,只有赛门铁克旧基础设施颁发的TLS服务器证书才会受到这种不信任的影响。 |
~2018年10月23日 | Chrome 70发布到Stable。 |
The SSL certificate used to load resources from xxx will be distrusted in M70.的更多相关文章
- How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查)
How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查) **** ...
- SSL certificate problem unable to get local issuer certificate解决办法
SSL certificate problem unable to get local issuer certificate 解决办法: 下载:ca-bundle.crt 将它放在自己的wamp或者x ...
- How To Set Up Apache with a Free Signed SSL Certificate on a VPS
Prerequisites Before we get started, here are the web tools you need for this tutorial: Google Chrom ...
- How To Create a SSL Certificate on Apache for CentOS 6
About Self-Signed Certificates 自签证书.一个SSL证书,是加密网站的信息,并创建更安全的链接的一种方式.附加地,证书可以给网站浏览者显示VPS的的身份证明信息.如果一个 ...
- Configure custom SSL certificate for RDP on Windows Server 2012 in Remote Administration mode
Q: So the release of Windows Server 2012 has removed a lot of the old Remote Desktop related configu ...
- Load resources from classpath in Java--reference
In general classpath is the path where JVM can find .class files and resources of your application a ...
- (转)How to renew your Apple Push Notification Push SSL Certificate
转自:https://blog.serverdensity.com/how-to-renew-your-apple-push-notification-push-ssl-certificate/ It ...
- 执行Git命令时出现 SSL certificate problem 的解决办法
比如我在windows下用git clone gitURL 就提示 SSL certificate problem: self signed certificate 这种问题,在windows下出现 ...
- last error : SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate veri
今天在用搜狐提供的邮件群发系统的sdk,做发送邮件的测试时,提示: last error : SSL certificate problem, verify that the CA cert is O ...
随机推荐
- WEBZIP为什么打不开网页
先试三个办法 一.打开IE,点工具,点internet选项,点高级,点恢复默认设置,点保存,退出,重新打开IE 二.打开IE,刷新五次以上 三.打开IE,点工具,点internet选项,点删除文件,点 ...
- 最常用Python开源框架有哪些?
Python开源框架有很多,像Django.Flask.webpy等等,但哪些是最常用到的呢?我们收集了一些Python使用者的宝贵意见,把他们认为最常用的Python开源框架简单的介绍给大家. 一. ...
- 怎么从一台电脑的浏览器输入地址访问另一台电脑服务器(WAMP服务器已搭建,PHPSTORM装好了)
服务器电脑WAMP环境搭建好了,浏览器输入LOCALHOST就能访问本地 WAMP/WWW 目录下PHP文件,怎么样才能从另一台电脑通过浏览器访问呢?求详细步骤... glwbdtb | 浏览 180 ...
- tp5 加载第三方扩展类库与手动加载的问题
=============================================================== <?phpnamespace my; /*** 加载第三方类库*/ ...
- 积分图实现均值滤波的CUDA代码
没想到我2010年买的笔记本显卡GT330M 竟然还能跑CUDA,果断小试了一把,环境为CUDA6.5+VS2012,写了一个积分图实现均值滤波.类似于OpenCV的blur()函数. 使用lena. ...
- 一步一步创建ASP.NET MVC5程序[Repository+Autofac+Automapper+SqlSugar](七)
前言 大家好,我依旧是你们的老朋友Rector,很高兴又在周五的时候准时和大家见面. Rector的系列文章[一步一步创建ASP.NET MVC5程序[Repository+Autofac+Autom ...
- C#如何释放已经加载的图片
使用Image.FromFile取磁盘上的图片时,这个方法会锁定图片文件,而且会导致内存占用增大, 有几种方法解决:一:将Image类转换成Bitmap类System.Drawing.Image im ...
- AI_深度学习为何兴起?
深度学习和神经网络,在此技术背后的理念,已经发展了好几十年了,为何现在流行起来了? 最直接因素: 将帮助你在自己的组织中,发现好机会,来应用这些东西 为什么深度学习这么厉害? x轴表示完成任务的数据数 ...
- Java常用类--数字常用类
math java提供了基本的 + - * / %等基本算术运算的运算符,但对于更复杂的数学运算比如:三角函数,对数运算,指数运算就无能为力了.Java提供了Math工具类来完成这些复杂的运算,Mat ...
- Ubuntu 安装 Nginx 实现反向代理
安装Nginx依赖库(ubuntu平台) 最近域名通过了备案, 想着应用总不能带着端口号访问吧, 于是在网上踩了很多坑, 终于找到了一步直达的方法,起码这一次很顺利的实现了 安装gcc g++的依赖库 ...