Chrome 70 开始不信任 Symantec 证书了,又要有一大批网站更换证书吧
nyanyh · 2018-07-26 22:46:26 +08:00 · 11761 次点击这是一个创建于 2094 天前的主题,其中的信息可能已经有所发展或是发生改变。
Version 70.0.3503.0 (Official Build) canary (64-bit)
访问 v2ex.com 已经弹出 NET::ERR_CERT_SYMANTEC_LEGACY 错误了,B 站使用的一个 acgvideo.com 也一样的证书错误
https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html
中文版: https://googledeveloperschina.blogspot.com/2017/09/chrome-symantec.html
看了下 Google 的博客,还包括 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL
Chrome 70 大约将在 2018 年 10 月 23 日所在的那一周发布,此版本将完全移除对 Symantec 旧基础架构及其已经发放的所有证书的信任。这将影响来自 Symantec 根证书的所有证书,但之前已经向 Google 披露的独立运营和审计的附属证书授权机构发放的少量证书不受影响。
需要从 Symantec 现有根证书和中间证书获取证书的网站运营者在 2017 年 12 月 1 日前仍可以从旧基础架构获取,但是,需要在 Chrome 70 之前重新替换这些证书。此外,从 Symantec 基础架构发放的证书的有效期将限制为 13 个月。网站运营者也可以从 Chrome 当前信任的任何其他证书授权机构获取替代证书,这些证书不受取消信任或有效期限的影响。
p.s Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误
访问 v2ex.com 已经弹出 NET::ERR_CERT_SYMANTEC_LEGACY 错误了,B 站使用的一个 acgvideo.com 也一样的证书错误
https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html
中文版: https://googledeveloperschina.blogspot.com/2017/09/chrome-symantec.html
看了下 Google 的博客,还包括 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL
Chrome 70 大约将在 2018 年 10 月 23 日所在的那一周发布,此版本将完全移除对 Symantec 旧基础架构及其已经发放的所有证书的信任。这将影响来自 Symantec 根证书的所有证书,但之前已经向 Google 披露的独立运营和审计的附属证书授权机构发放的少量证书不受影响。
需要从 Symantec 现有根证书和中间证书获取证书的网站运营者在 2017 年 12 月 1 日前仍可以从旧基础架构获取,但是,需要在 Chrome 70 之前重新替换这些证书。此外,从 Symantec 基础架构发放的证书的有效期将限制为 13 个月。网站运营者也可以从 Chrome 当前信任的任何其他证书授权机构获取替代证书,这些证书不受取消信任或有效期限的影响。
p.s Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误
 |
1
bclerdx 2018-07-26 22:56:01 +08:00
Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误,这个怎么操作,请示范一下。
|
 |
2
nyanyh OP  7
@bclerdx 就是在 Chrome 的错误页面,点页面空白处一下让键盘焦点处于页面内,然后依次按下 thisisunsafe,页面就会自动刷新了
|
 |
5
yohanechan 2018-07-26 23:27:33 +08:00
很多原来使用 Symentec 证书的网站换成了 DigiCert 证书,包括但不限于 Alipay、WeChat、CNNIC、知乎 和 学信网。Symentec 旗下品牌证书也在逐步使用 DigiCert 根证书,高端市场只剩 GlobalSign 和 DigiCert 两家独大。
|
 |
6
redsonic 2018-07-26 23:36:53 +08:00
唉,好吧我又要把 mozilla-nss 里的一堆证书拉黑了。
|
 |
8
wdlth 2018-07-27 00:05:55 +08:00
可惜 Google 还用着赛门铁克的代码签名证书……
|
|
10
wdlth 2018-07-27 00:24:11 +08:00
财付通没有换,看来已经不行了……
|
 |
11
lhx2008 2018-07-27 00:25:57 +08:00 via Android
所以还有一年的免费证书可以申请吗
|
 |
12
cpdyj 2018-07-27 01:07:21 +08:00 via Android
不知道对 let's encrypt 有没有影响
|
 |
13
580a388da131 2018-07-27 01:26:30 +08:00 via iPhone
换 Google 自己的,一步到位。😒
|
 |
14
nciyuan 2018-07-27 01:56:34 +08:00 via Android
@cpdyj Let's Encrypt Single 和 Let's Encrypt Wildcard 都是由直接根信任的 DST X3 签出来的 LE X1-4,虽然沃通和 StartCom 被 360 搞死了,赛门铁克被自己和谷歌搞死了,但是别忘了沃通最开始的证书是怎么提权信任的,就是靠 StartCom 的和 Comodo 的交叉信任提升为 Root CA,而大家也看到了 Comodo 的力量,这家公司真的是哲学般的牛逼。
@580a388da131 谷歌的小 CA 证书是由 GlobalSign R2 直接信任根证书签发的。 |
 |
15
maogang39 2018-07-27 08:19:31 +08:00 via Android
苏宁的证书还是沃通的
|
|
17
redsonic 2018-07-27 13:55:56 +08:00
@bclerdx 因为其他应用又不跟随 chrome,要想同样不信任这些证书只能拉黑 mozilla-nss 里面的证书。
|
 |
18
Love4Taylor 2018-08-04 14:43:47 +08:00
刚更新了 70.0.3510.0 (Official Build) dev (64-bit)
不过 v2 和 b 站都没报错, 奇怪... |
 |
19
7emes 2018-08-07 03:32:28 +08:00
@Love4Taylor 国外的 ip 访问的话没问题。
|
 |
20
nnnnnelson 2018-09-29 16:36:16 +08:00
|
 |
21
mrluffya 2018-11-03 08:19:05 +08:00
可以增加一条参数启动 chrome...
argv -> `--ignore-certificate-errors` e.g. "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ignore-certificate-errors |
Select Language