最后通知:Chrome 70 将不信任Symantec PKI颁发的所有证书
2017年7 月底,Chrome 团队与 PKI 社区共同制定了一项计划,希望减少并最终移除对 Symantec 基础架构的信任,此举旨在确保用户浏览网络时的安全和隐私。最终确定之前,这项计划在 blink-dev 论坛上进行了激烈的讨论。它为大家留出了合理的时间来过渡到独立运营的新托管合作伙伴基础架构,同时,Symantec 也将更新和重新设计其基础架构以符合业界标准。
Symantec 宣布选择 DigiCert 来运行这个独立运营的新托管合作伙伴基础架构。
DigiCert产品执行副总裁,Jeremy Rowley接受了Help Net Security的采访。
Jeremy Rowley领导公司的产品开发团队,为新兴市场客户提供服务。这些客户需要物联网,美国联邦医疗保健交易,先进Wi-Fi和其他创新技术领域的安全解决方案。
谷歌Chrome 70的稳定版本将在本月推出。这意味着剩余具有Symantec证书的站点将被标记为不受信任。这对最终用户、组织和信息安全行业意味着什么?
Jeremy Rowley:2017年,谷歌和Mozilla认为 Symantec(赛门铁克)对其PKI的控制不足以在浏览器根存储区继续运营,并制定逐步不信任Symantec根目录的计划。其他浏览器紧随其后。
2017年10月31日,DigiCert完成了对Symantec网站安全的收购,并制定了一项经浏览器批准的计划,为Symantec品牌颁发新证书,并通过在我们信任的根源上重新发布,取代那些不信任的证书。
谷歌的计划包括三个关键日期,我们现在处于谷歌推出Chrome 70计划的最后阶段。日期是:
2017年12月 - 在Symantec之后一个月 - Symantec交易完成后,验证和发布新的Symantec品牌证书已转换为DigiCert的PKI。除了所有新发行的证书需要使用DigiCert验证流程重新验证客户信息之外,两家公司的客户都不需要进行任何更改。
2018年3月 - Chrome 66测试版不信任Symantec在2016年6月1日之前颁发的所有证书。
2018年10月 - Chrome 70稳定版将不信任Symantec PKI颁发的所有证书。发布后,Chrome的稳定版本将针对仍使用Symantec根目录的任何证书提供不受信任的警告。
若用户未在规定时间更换证书为DigiCert的PKI,那网站则会发出警告,告知用户其通信不是私密的。目前,我们一直在努力为用户提供一个简单的替换过程,并且它正在发挥作用。截至9月中旬,只有1-2%的领先站点(Alexa 100万个基础域)尚未更换证书,更换速度正在加快。Chrome 70稳定版计划在10月中旬推出。
您对那些仍在部署Symantec颁发的证书的人有什么建议?
Jeremy Rowley:对于仍在使用Symantec颁发的证书的企业,我们的建议是——在浏览器发出警告之前,免费替换DigiCert证书。任何使用Symantec证书(包括Thawte,GeoTrust或RapidSSL等其他品牌)的用户都应立即更换证书。 DigiCert提供帮助客户通过免费更换Symantec发行的TLS证书进行转换,以在最初购买的许可期结束时扩展信任。
DigiCert通过数百万封电子邮件进行了前所未有的宣传,并致电客户,了解了DigiCert的潜在影响和解决方案,并制定了帮助客户更换SSL / TLS证书的说明。我们简化了替换证书的过程,同时设置了增强的验证流程并提高了PKI的可扩展性。我们还为验证人员提供了大量的培训,加强他们的能力。大多数用户已经更换了证书,我们会继续为那些尚未采取行动的用户。
自2017年底完成对Symantec网站安全和相关PKI解决方案的收购以来,DigiCert的主要关注点是什么?
Jeremy Rowley:自从去年完成对赛门铁克网站安全和相关PKI解决方案的收购以来,我们投入了大量时间和必要的资源,以尽量减少浏览器对我们的客户和合作伙伴的不信任。首先要求使用我们自己的架构替换所有Symantec后端系统并重新验证客户。
通过努力,我们能够做到在2017年12月开始进行最初的更换后,为客户管理大量的更换证书,并且没有明显的延误。我们与客户的沟通非常广泛,我们一直在努力简化处理。
DigiCert为全球2000强中大部分企业提供证书管理和安全解决方案。您如何看待证书管理在不久的将来发展?
Jeremy Rowley:随着企业加速数字化转型,他们会看到新型物理资产联网的需求和对安全的需求。组织面临着一些挑战,如安全需求(思考IoT)的规模、训练有素的工作人员,以及其可用性和快速增长的攻击媒介。证书管理对于组织来说至关重要,但它超出了许多人的常规工作流程,包括开发人员和IT经理。公司需要自动化,包括证书采购、发布、配置和续订,我们通过技术和API集成帮助简化生命周期。
企业客户寻求一次性发行。他们需要一个能够理解其工作流程并提供适合其工作文化的自动化管理系统的合作伙伴。他们需要具有专业知识的供应商来跟踪不断变化的威胁并帮助他们保持最新状态。这一直是我们对DigiCert的关注,并将继续如此。客户至上是我们的口头禅。
是什么让DigiCert在市场上独一无二?您有什么优势?
Jeremy Rowley:当我们的创始人确定获取和安装数字证书应该更容易时,DigiCert就是围绕客户体验构建的。这一直是我们的重点:创新客户友好的产品,简化证书管理的工具,7天24小时的客户支持团队,用知识为用户提供特定的服务。
我们还积极参与行业标准工作,帮助我们的客户始终站在解决实时风险、不断发展的实践最前沿。作为行业领导者,我们一直致力于改进证书生态系统。例如:
没有CA(认证中心)可以匹配我们的全球服务,员工是来自全球各地的,他们有不同的语言,在不同的办公地点,来为用户提供本地化服务。我们还拥有最多的人才和创新者,致力于提高行业标准和技术。
我们构建了一个现代化,可扩展的基础架构,能够可靠地托管物联网和其他连接所需的数十亿个证书。我们还与其他人合作推进前瞻性解决方案,例如量子安全加密技术以及改进区块链等社区内的验证和信任。
我们支持提高用于颁发数字证书验证方法的透明度,包括使用哪种方法验证特定证书。我们认为,有关发行不需要私密的数字证书的任何细节都应公开。我们创建了一个在CA /浏览器论坛中传递的选票,并继续推动积极的变化。
我们是自动化的忠实粉丝,并且正在努力支持改进的方法和工具,以便更轻松地管理证书。
DigiCert并不止于此,请继续关注更多。
Chrome 70的稳定版将在10月16日左右发布,届时,超过60%的网络将无法访问仍在使用受影响证书之一的网站。
2018年7月,谷歌发布了Chrome的Dev开发版Chrome 70。幸运的是,很少有人使用该版本。测试版拥有更多的用户,但绝大多数人将在10月16日左右受到稳定版本的影响。值得注意的是,谷歌通常都是逐步推出更新,因此更有可能在16日那一周,而不是16日当天。
网站运营商们,记得及时替换安全证书~
参考来源:
helpnetsecurity
掘金
- End -
往期热门资讯:
阅读《加密与解密》之前,需要什么基础?
看雪2018国庆CTF团队攻击赛,正在进行中!
Telegram 爆出漏洞 语音呼叫即可泄露用户IP地址
暗网出现新Gazorp组织免费构建恶意软件Azorult 可窃取用户数据
【招募】看雪智能硬件安全小组诚邀你的加入!
扫描二维码,获得更多新鲜资讯!