今天在浏览网站的时候遇到如下报警信息:

The SSL certificate used to load resources from https://xxx.com will be distrusted in M70. Once distrusted, users will be prevented from loading these resources. See https://g.co/chrome/symantecpkicerts for more information.

于是查询了对应的文档,将其直接goole翻译贴过来:

Chrome计划不再信任Symantec证书

这篇文章是对blink-dev邮件列表已经敲定的计划的更广泛宣布。

更新日期:1/31/18:发布更新以进一步阐明13个月的有效性限制

在2017年7月底,Chrome团队和PKI社区聚在一起,计划减少并最终消除对赛门铁克基础设施的信任,以便在浏览网页时维护用户的安全和隐私。这个计划是在在blink-dev论坛进行重大辩论之后提出的,它给予网站运营商合理得过渡时间来更换新的证书,以及赛门铁克重新设计其基础架构并遵守行业标准。

2017年1月19日,公开发布到mozilla.dev.security.policy新闻组提请注意赛门铁克公司PKI发布的一系列有问题的网站身份验证证书。赛门铁克的PKI业务以Thawte,VeriSign,Equifax,GeoTrust和RapidSSL等不同品牌的一系列证书颁发机构颁发了许多不符合业界开发的CA/浏览器论坛基线要求的证书。在随后的调查中发现,赛门铁克委托几家有能力的组织在没有适当或必要的监督的情况下颁发证书,并且在一段时间内意识到这些组织存在安全缺陷。

这一事件与2015年之前的事件截然不同,这是过去几年持续不断的问题模式之一,导致Chrome团队对赛门铁克基础架构的可信赖性失去信心。

在我们商定的提案分发后,赛门铁克宣布选择DigiCert运行这一独立运营的托管合作伙伴基础架构,以及他们打算将其PKI业务出售给DigiCert,以替代构建新的可信基础架构。本文概述了该过渡的时间表,以及赛门铁克现有客户应采取的措施,以尽量减少对用户的干扰。

网站运营商的信息

从Chrome 66开始,Chrome将取消对2016年6月1日之前发布的Symantec颁发的证书的信任。Chrome 66目前计划于2018年3月15日发布到Chrome Beta用户,并将于2018年4月17日发布到Chrome Stable用户。

如果您是拥有由Symantec CA在2016年6月1日之前颁发的证书的网站运营商,那么在Chrome 66发布之前,您需要用来自Chrome信任的任何证书颁发机构的新证书替换现有证书。

此外,赛门铁克将于2017年12月1日前将公众信任证书的颁发和运营转换为DigiCert基础架构,并且在此日期之后从旧的Symantec基础架构颁发的证书将不会在Chrome中受信任。

2018年10月23日左右,Chrome 70将会发布,这将彻底消除赛门铁克旧基础设施以及它颁发的所有证书的信任。这将影响链接到赛门铁克根目录的任何证书,但以前向Google公开的独立运营和受审计的从属CA颁发的小数字除外。

虽然这些证书需要在Chrome 70之前重新替换,但需要从赛门铁克现有的根证书和中级证书获取证书的网站运营商可能会从旧的基础架构中获得证书。此外,使用赛门铁克的验证信息基础设施将有效期限为13个月。或者,网站运营商可以从Chrome当前信任的任何其他证书颁发机构获得替代证书,这些证书不受此不信任或有效期限制的限制。

参考时间表

以下是与此计划相关的相关日期的时间表,该计划将各种要求和里程碑提炼为网站运营商可操作的一组信息。与往常一样,Chrome的发布日期可能会有所不同,但即将发布的日期可以在此处进行追踪

日期 事件
现在~2018年3月15日 2016年6月1日前发布的使用Symantec发布的TLS服务器证书的网站运营商应替换这些证书。这些证书可以被任何当前信任的CA取代。
~2017年10月24日 Chrome 62发布到Stable,在评估将受Chrome 66不信任影响的证书时,将在DevTools中添加警报。
2017年12月1日 根据赛门铁克的说法,DigiCert新的“托管合作伙伴基础架构”在这一点上将能够完全发布。此后,赛门铁克旧基础设施颁发的任何证书都将在未来的Chrome更新中停止运行。
从此日起,网站运营商可以从新的托管合作伙伴基础架构获得TLS服务器证书,这些证书将在Chrome 70(〜2018年10月23日)之后继续受信任。
2017年12月1日并未强制要求更改证书,但为网站运营商提供了获得TLS服务器证书的机会,这些证书不会受到Chrome 70对旧基础架构不信任的影响。
~2018年3月15日 Chrome 66已发布到测试版,该版本将在2016年6月1日之前取消对赛门铁克颁发的证书的信任度。截至此日,网站运营商必须使用6月或6月之后颁发的Symantec颁发的TLS服务器证书2016年1月1日或从Chrome 66开始的任何其他可信CA颁发的当前有效证书。
在2016年6月1日之后从赛门铁克旧基础设施获得证书的网站运营商不会受到Chrome 66的影响,但需要通过下面描述的Chrome 70日期获得新证书。
~2018年4月17日 Chrome 66发布到Stable。
~2018年9月13日 Chrome 70发布到Beta版,这将消除旧的基于赛门铁克的基础架构的信任。这不会影响任何证书链接到新的托管合作伙伴基础设施,赛门铁克表示将于2017年12月1日前投入运营。
无论颁发日期如何,只有赛门铁克旧基础设施颁发的TLS服务器证书才会受到这种不信任的影响。
~2018年10月23日 Chrome 70发布到Stable。

The SSL certificate used to load resources from xxx will be distrusted in M70.的更多相关文章

  1. How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查)

    How to disable SSL certificate checking with Spring RestTemplate?(使用resttemplate访问https时禁用证书检查) **** ...

  2. SSL certificate problem unable to get local issuer certificate解决办法

    SSL certificate problem unable to get local issuer certificate 解决办法: 下载:ca-bundle.crt 将它放在自己的wamp或者x ...

  3. How To Set Up Apache with a Free Signed SSL Certificate on a VPS

    Prerequisites Before we get started, here are the web tools you need for this tutorial: Google Chrom ...

  4. How To Create a SSL Certificate on Apache for CentOS 6

    About Self-Signed Certificates 自签证书.一个SSL证书,是加密网站的信息,并创建更安全的链接的一种方式.附加地,证书可以给网站浏览者显示VPS的的身份证明信息.如果一个 ...

  5. Configure custom SSL certificate for RDP on Windows Server 2012 in Remote Administration mode

    Q: So the release of Windows Server 2012 has removed a lot of the old Remote Desktop related configu ...

  6. Load resources from classpath in Java--reference

    In general classpath is the path where JVM can find .class files and resources of your application a ...

  7. (转)How to renew your Apple Push Notification Push SSL Certificate

    转自:https://blog.serverdensity.com/how-to-renew-your-apple-push-notification-push-ssl-certificate/ It ...

  8. 执行Git命令时出现 SSL certificate problem 的解决办法

    比如我在windows下用git clone gitURL 就提示  SSL certificate problem: self signed certificate 这种问题,在windows下出现 ...

  9. last error : SSL certificate problem, verify that the CA cert is OK. Details: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate veri

    今天在用搜狐提供的邮件群发系统的sdk,做发送邮件的测试时,提示: last error : SSL certificate problem, verify that the CA cert is O ...

随机推荐

  1. 解决spring定时任务执行2次和tomcat部署缓慢的问题

    spring定时任务执行2次 问题重现和解析 最近使用quartz定时任务框架,结果发现开发环境执行无任何问题,部署到服务器上后,发现同一时间任务执行了多次.经过搜索发现是服务器上tomcat的配置文 ...

  2. php 下载文件的头信息 Determine Content Type

    <?php if(!function_exists('mime_content_type')) { function mime_content_type($filename) { $mime_t ...

  3. zoom:1是什么意思

    当一个容器内元素都浮动后,它将高度将不会随着内部元素高度的增加而增加,所以造成内容元素的显示超出了容器. overflow:auto;是让高度自适应, zoom:1;是为了兼容IE6,也可以用heig ...

  4. thinkphp使用PHPMailer发送邮件

    第一步:准备PHPMailer 使用PHPMailer发送邮件,首先下载个PHPMailer 将下载的PHPMailer放到ThinkPHP文件夹里面的ThinkPHPExtendVendor 第二步 ...

  5. yourphp目录结构

    Yourphp企业网站管理系统是一款完全开源免费的PHP+MYSQL系统.核心采用了Thinkphp框架等众多开源软件,同时核心功能也作为开源软件发布的网站后台管理系统. 二.目录说明 /Cache ...

  6. Contiki 源代码目录结构

    最近要在烧写contiki的CC2650上做一些简单的实验,需要对contiki的目录结构有一个简单的了解.本文使用的是contiki 3.0版本,并且参考了百度文库上的一篇文档:https://we ...

  7. CSS background-clip 属性

    <!DOCTYPE html> <html> <head> <meta charset="utf-8"> <title> ...

  8. Hadoop问题:chmod 0700 of directory /var/lib/apt/lists/

    问题描述: apt-get update W: chmod of directory /: Operation not permitted) E: Could not open : Permissio ...

  9. 【处理多服务器日志合并处理问题】多服务器的日志合并统计——apache日志的cronolog轮循

    转发:http://www.chedong.com/tech/rotate_merge_log.html   内容摘要:你完全不必耐心地看完下面的所有内容,因为结论无非以下2点:1 用 cronolo ...

  10. Django_生产环境静态文件配置

    需求: 当Django项目运行在线上的时候,需要关闭debug模式,那么Django设置中,静态文件路径配置将会失效,如何解决这个问题? 问题原因: Django默认关闭debug模式,Django错 ...