The SSL certificate used to load resources from xxx will be distrusted in M70.
今天在浏览网站的时候遇到如下报警信息:
The SSL certificate used to load resources from https://xxx.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.
于是查询了对应的文档,将其直接goole翻译贴过来:
Chrome计划不再信任Symantec证书
这篇文章是对blink-dev邮件列表已经敲定的计划的更广泛宣布。
更新日期:1/31/18:发布更新以进一步阐明13个月的有效性限制
在2017年7月底,Chrome团队和PKI社区聚在一起,计划减少并最终消除对赛门铁克基础设施的信任,以便在浏览网页时维护用户的安全和隐私。这个计划是在在blink-dev论坛进行重大辩论之后提出的,它给予网站运营商合理得过渡时间来更换新的证书,以及赛门铁克重新设计其基础架构并遵守行业标准。
2017年1月19日,公开发布到mozilla.dev.security.policy新闻组提请注意赛门铁克公司PKI发布的一系列有问题的网站身份验证证书。赛门铁克的PKI业务以Thawte,VeriSign,Equifax,GeoTrust和RapidSSL等不同品牌的一系列证书颁发机构颁发了许多不符合业界开发的CA/浏览器论坛基线要求的证书。在随后的调查中发现,赛门铁克委托几家有能力的组织在没有适当或必要的监督的情况下颁发证书,并且在一段时间内意识到这些组织存在安全缺陷。
这一事件与2015年之前的事件截然不同,这是过去几年持续不断的问题模式之一,导致Chrome团队对赛门铁克基础架构的可信赖性失去信心。
在我们商定的提案分发后,赛门铁克宣布选择DigiCert运行这一独立运营的托管合作伙伴基础架构,以及他们打算将其PKI业务出售给DigiCert,以替代构建新的可信基础架构。本文概述了该过渡的时间表,以及赛门铁克现有客户应采取的措施,以尽量减少对用户的干扰。
网站运营商的信息
从Chrome 66开始,Chrome将取消对2016年6月1日之前发布的Symantec颁发的证书的信任。Chrome 66目前计划于2018年3月15日发布到Chrome Beta用户,并将于2018年4月17日发布到Chrome Stable用户。
如果您是拥有由Symantec CA在2016年6月1日之前颁发的证书的网站运营商,那么在Chrome 66发布之前,您需要用来自Chrome信任的任何证书颁发机构的新证书替换现有证书。
此外,赛门铁克将于2017年12月1日前将公众信任证书的颁发和运营转换为DigiCert基础架构,并且在此日期之后从旧的Symantec基础架构颁发的证书将不会在Chrome中受信任。
2018年10月23日左右,Chrome 70将会发布,这将彻底消除赛门铁克旧基础设施以及它颁发的所有证书的信任。这将影响链接到赛门铁克根目录的任何证书,但以前向Google公开的独立运营和受审计的从属CA颁发的小数字除外。
虽然这些证书需要在Chrome 70之前重新替换,但需要从赛门铁克现有的根证书和中级证书获取证书的网站运营商可能会从旧的基础架构中获得证书。此外,使用赛门铁克的验证信息基础设施将有效期限为13个月。或者,网站运营商可以从Chrome当前信任的任何其他证书颁发机构获得替代证书,这些证书不受此不信任或有效期限制的限制。
参考时间表
以下是与此计划相关的相关日期的时间表,该计划将各种要求和里程碑提炼为网站运营商可操作的一组信息。与往常一样,Chrome的发布日期可能会有所不同,但即将发布的日期可以在此处进行追踪。
日期 | 事件 |
---|---|
现在~2018年3月15日 | 2016年6月1日前发布的使用Symantec发布的TLS服务器证书的网站运营商应替换这些证书。这些证书可以被任何当前信任的CA取代。 |
~2017年10月24日 | Chrome 62发布到Stable,在评估将受Chrome 66不信任影响的证书时,将在DevTools中添加警报。 |
2017年12月1日 | 根据赛门铁克的说法,DigiCert新的“托管合作伙伴基础架构”在这一点上将能够完全发布。此后,赛门铁克旧基础设施颁发的任何证书都将在未来的Chrome更新中停止运行。 从此日起,网站运营商可以从新的托管合作伙伴基础架构获得TLS服务器证书,这些证书将在Chrome 70(〜2018年10月23日)之后继续受信任。 2017年12月1日并未强制要求更改证书,但为网站运营商提供了获得TLS服务器证书的机会,这些证书不会受到Chrome 70对旧基础架构不信任的影响。 |
~2018年3月15日 | Chrome 66已发布到测试版,该版本将在2016年6月1日之前取消对赛门铁克颁发的证书的信任度。截至此日,网站运营商必须使用6月或6月之后颁发的Symantec颁发的TLS服务器证书2016年1月1日或从Chrome 66开始的任何其他可信CA颁发的当前有效证书。 在2016年6月1日之后从赛门铁克旧基础设施获得证书的网站运营商不会受到Chrome 66的影响,但需要通过下面描述的Chrome 70日期获得新证书。 |
~2018年4月17日 | Chrome 66发布到Stable。 |
~2018年9月13日 | Chrome 70发布到Beta版,这将消除旧的基于赛门铁克的基础架构的信任。这不会影响任何证书链接到新的托管合作伙伴基础设施,赛门铁克表示将于2017年12月1日前投入运营。 无论颁发日期如何,只有赛门铁克旧基础设施颁发的TLS服务器证书才会受到这种不信任的影响。 |
~2018年10月23日 | Chrome 70发布到Stable。 |
The SSL certificate used to load resources from xxx will be distrusted in M70.的更多相关文章
- How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查)
How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查) **** ...
- SSL certificate problem unable to get local issuer certificate解决办法
SSL certificate problem unable to get local issuer certificate 解决办法: 下载:ca-bundle.crt 将它放在自己的wamp或者x ...
- How To Set Up Apache with a Free Signed SSL Certificate on a VPS
Prerequisites Before we get started, here are the web tools you need for this tutorial: Google Chrom ...
- How To Create a SSL Certificate on Apache for CentOS 6
About Self-Signed Certificates 自签证书.一个SSL证书,是加密网站的信息,并创建更安全的链接的一种方式.附加地,证书可以给网站浏览者显示VPS的的身份证明信息.如果一个 ...
- Configure custom SSL certificate for RDP on Windows Server 2012 in Remote Administration mode
Q: So the release of Windows Server 2012 has removed a lot of the old Remote Desktop related configu ...
- Load resources from classpath in Java--reference
In general classpath is the path where JVM can find .class files and resources of your application a ...
- (转)How to renew your Apple Push Notification Push SSL Certificate
转自:https://blog.serverdensity.com/how-to-renew-your-apple-push-notification-push-ssl-certificate/ It ...
- 执行Git命令时出现 SSL certificate problem 的解决办法
比如我在windows下用git clone gitURL 就提示 SSL certificate problem: self signed certificate 这种问题,在windows下出现 ...
- last error : SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate veri
今天在用搜狐提供的邮件群发系统的sdk,做发送邮件的测试时,提示: last error : SSL certificate problem, verify that the CA cert is O ...
随机推荐
- 从零开始学习前端开发 — 3、CSS盒模型
★ css盒模型是css的基石,每个html标签都可以看作是一个盒模型. css盒模型是由内容(content),补白或填充(padding),边框(border),外边距(margin)四部分组成 ...
- git只添加指定类型的文件的.gitignore规则
#忽略根目录下的所有文件 * #忽略子目录下的所有文件 /* #包含目录 !*/ #指定不忽略的文件 !*.c !*.h #忽略根目录下的文件 /build/ /appveyor/ /pear/ /s ...
- Cocoa的MVC架构分析
Cocoa是Mac OS和iPhone OS上的开发框架,使用Objective-C做为开发语言.当然,在代码中也可以嵌入C和C++的语句.初识Objective-C时会觉得它的语法很奇怪,但本质上和 ...
- java开发都需要学什么
1.java基础 2.JSP+Servlet+JavaBean 环节主要 懂流程 MVC而已 别往深了研究 现 开发基本 用 模式 3.Struts+Hibernate+Spring 才 开发 主流技 ...
- Oracle问题之字符集问题,登陆sqlplus出现问号
退出sql SET NLS_LANG=AMERICAN_AMERICA.ZHS16GBK show parameter nls_la
- [知了堂学习笔记]_集合接口list与集合接口set的区别
在Java中 除了 Map以外的集合的根接口都是Collection接口,而在Collection接口的子接口中,最重要的莫过于List和Set集合接口. 今天我们就来谈谈List集合接口与Set集合 ...
- 了解JDK 6和JDK 7中substring的原理及区别
substring(int beginIndex, int endIndex)方法在jdk 6和jdk 7中的实现是不同的.了解他们的区别可以帮助你更好的使用他.为简单起见,后文中用substring ...
- 有关linux下redis overcommit_memory的问题
公司的几台Redis服务器出现不明故障,查看Redis日志,发现如下提示: 1 [34145] 01 Jan 17:42:02 # WARNING overcommit_memory is set t ...
- 数据存储之Web存储(sessionStorage localStorage globalStorage )
Web Storage 两个目标 提供一种在cookie之外的存储会话守数据的途径 提供一种存储大量可以跨会话存在的数据机制 最初的Web Storage规范包含两个对象 sessionStorage ...
- hibernate_xml映射exception
错误原因:在通过hibernate指示生成两个表之间的外键关系之后,一个表中引用的外键不在另一个表的参考范围里面. 解决:使之满足参考完整性 org.hibernate.TransientObject ...