剑客
关注科技互联网

不信任我们深知和 StartCom 证书

证书颁发机构 (Ca) 通过颁发数字证书给网站经营者 web 安全发挥关键的作用。这些证书信任的浏览器进行身份验证与网站的安全连接。Ca 颁发证书以外的浏览器和工业机构所需的政策的人可以每个 web 用户的隐私与安全置于危险境地。

谷歌已确定两个 Ca、 WoSign 和 StartCom,不保持期望的 CAs 的高标准和 Google Chrome,根据我们的根证书策略将不再被信任。这种观点是类似于根证书程序的苹果和 Mozilla 最近的通告。这篇文章的其余部分提供了这一决定,我们计划如何尽量减少中断同时还保护用户的背景。

背景

2016 年 8 月 17 日,谷歌收到由 GitHub 的安全团队通知我们深知发表了其中一个 GitHub 的域,未经其授权的证书。这促使调查,在公共场合作为 Mozilla 和安全社区,也发现我们深知 misissuance 其他案件数目的合作。

调查的结论,我们深知明知而故意 misissued 证书是为了规避浏览器限制和 CA 要求。此外,它确定 StartCom、 另一个 CA,我们深知,被收购了取代我们深知的基础设施、 工作人员、 策略和发行系统。当面对这一证据,我们深知和 StartCom 管理积极试图误导浏览器社会习得与这两家公司的关系。对于这两个 Ca,我们就结束是有模式的问题和事件表明很不和谐的职责公开受信任的 CA 的安全方法。

行动

开始与铬 56,我们深知、 StartCom 证书后 10 月 21,2016年 00:00:00 UTC 不会信任。在此日期之前颁发的证书可能继续被信任,一段时间,如果他们遵守证书透明度的铬政策或发给一组有限的域已知为 WoSign 和 StartCom 的客户。

由于一些技术上的局限性和关切,谷歌 chrome 浏览器是无法信任所有预先存在的证书,同时确保我们的用户从进一步 misissuance 得到充分的保障。由于这些变化,我们深知和 StartCom 的客户可能会发现他们的证书不再从事铬 56。

在随后的 Chrome 版本中,这些异常会减少和最终删除,这些 Ca 的完全不信任而告终。这种分阶段的方法只是为了确保网站有过渡到其他仍在谷歌浏览器,从而尽量减少对用户的这些网站信任的证书颁发机构的机会。在这白名单找到自己的网站将能够请求早日搬迁,一旦他们已经过渡到新的证书。我们深知或 StartCom 任何企图绕过这些管制将导致立即和彻底删除的信任。

我们仍然致力于确保安全和隐私的谷歌 chrome 浏览器的用户。我们感激对用户访问受影响证书的网站的影响,给经营者运行这些网站,但这些事件,以及需要保护我们的用户,自然防止我们能够采取较少破坏性的步骤。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址