浏览器 - 关于安全证书
Chrome 70 开始不信任一系列旧版赛门铁克证书了,一大批网站需更换证书
Symantec(geoTrust)等部分证书不信任
Version 70.0.3503.0 (Official Build) canary (64-bit)
访问 ***.com 已经弹出 NET::ERR_CERT_SYMANTEC_LEGACY 错误了,
The SSL certificate used to load resources from https://js.t.sinajs.cn has been distrusted. See https://g.co/chrome/symantecpkicerts for more information.
(index):44 GET https://js.t.sinajs.cn/t6/home/js/pl/top/topInit.js?version=2018082010 net::ERR_CERT_SYMANTEC_LEGACY
静态资源基本全挂
P.S Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误:
Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误, 出现证书不安全连接提示时,可通过点击页面空白处,键盘录入。
证书类型和选择
Symantec
旧赛门铁克证书Symantec的网站,包括传统品牌: Thawte,VeriSign,Equifax,GeoTrust和RapidSSL证书。
-
GeoTrust Global CA 根证书颁发机构
- GeoTrust SSL CA - G3 中级证书颁发机构
- ***.com
全球第二大证书颁发机构(CA)
全兼容操作系统和浏览器
不限制服务器安装数量,性价比高
适合网站、APP应用等 (客户案例)
- ***.com
- GeoTrust SSL CA - G3 中级证书颁发机构
-
Symantec
- 财富500强企业中超过93%的公司选择此品牌
不仅保护通讯数据,还全方位防护网站
每日网站恶意软件扫描,定期网站漏洞扫描
适合对安全高要求的企业 (客户案例)
- 财富500强企业中超过93%的公司选择此品牌
DigiCert
- DigiCert Global Root CA 根证书颁发机构
- Encryption Everywhere DV TLS CA - G1 中级证书颁发机构
- ***.com
- Encryption Everywhere DV TLS CA - G1 中级证书颁发机构
对比: Symantec
- SSL过程更严谨(ssl验证网站及背后企业的真实性和合法性)
- 具有CA保险保障
- 证书对于根级证书颁发机构越大,可信度越高,算法安全系数越高
- 一个具有CA证书比没有颁发CA的网站可信度要高
单纯从技术角度,symantec和 GeoTrust 的区别如下:
- 算法支持上 Symantec(支持RSA DSA ECC三种算法)Geotrust(支持RSA DSA两种算法)
- 兼容性 Symantec > Geotrust ; Symantec(原verisign)可兼容市面上所有的浏览器,对移动端的支持也是最好的
- OCSP 响应速度:Symantec > Geotrust
- CA 安全性 方面 Symantec > Geotrust ,symantec是国际知名安全厂商,CA的安全级别也是国际第一的安全系数。
- Symantec 证书除实现加密传输以外,还另外有恶意软件扫描和漏洞评估的附加功能。GeoTrust证书没有
- Symantec对证书有商业保险赔付保障,金额最高为175万美金,GeoTrust最高为150万美金
对比:DigiCert
(DigiCert提前发现Chrome 70对赛门铁克颁发的证书的不信任, 为受影响证书的持有者对SSL / TLS部署的信任提供了最简单的途径提供了免费替换服务,延长了DigiCert根源的有效期)
- DigiCert建议客户使用赛门铁克根目前颁发的剩余证书,现在就开始计划免费更换 - 远早于宣布的Chrome 70不信任日期)
- DigiCert启用了批量订购工具,允许他们一次查看所有受影响的证书并请求更换,而不是一次一个。这些客户可以通过他们现有的证书订购门户请求更换,并且他们只需要点几下鼠标,就如同更新证书一样
- DigiCert一直致力于教育受影响证书的客户,并与DigiCert的合作伙伴一起帮助他们的客户
- DigiCert的根证书在所有主流浏览器中完全可信,并且替换为符合Chrome时间表的证书对于未来的Firefox版本仍然值得信赖。
- DigiCert的技术团队花费了许多时间长时间努力取代赛门铁克验证和发布后端系统,并配合赛门铁克网站安全品牌前端系统以便于发布,DigiCert已经聘用了200多名验证人员,并在DigiCert的符合CAB论坛的流程中对他们进行培训,支持客户的其他努力包括
- 随着继续专注于帮助客户超越赛门铁克的根本不信任感,DigiCert对计划在2018年剩余时间实施的创新感到非常兴奋。DigiCert为SSL / TLS,PKI和IoT安全市场计划了许多有意义的改进,并期待揭示更多未来几个月的详情。
很多原来使用 Symentec 证书的网站换成了 DigiCert 证书,包括但不限于 Alipay、WeChat、CNNIC、知乎 和 学信网。
Symentec 旗下品牌证书也在逐步使用 DigiCert 根证书,高端市场只剩 GlobalSign 和 DigiCert 两家独大。
认证简介
DV (domain validation) 域认证:
- 仅验证域名控制权
- 基础证书,只加密数据
- 最快10分钟即可颁发证书
- 适合个人和小微企业的网站
OV(organazation validation) 机构认证, 将通过paperwork纸质签报的流程审批后才可使用,ov使得访问网站更具有官方性,可信度。
- 验证域名控制权,及验证企业/组织信息
- 加密数据,证书展示企业名称
- 适合面向公众的网站
EV 企业扩展型认证:
- 验证域名控制权,及扩展验证企业/组织信息
- 加密数据,浏览器地址栏直接展示企业名称
- 浏览器地址栏变绿色,信任等级高
- 适合金融/电子支付/电子商务等网站
DV < OV < EV — 》》》(更贵,更安全,更值得信任)
(注:TLS比SSL是新一代协议,建立在SSL3.0以上)
Others:
第一阶段赛门铁克变成子CA2017年12月1日
2017年12月1日-赛门铁克与另一个SSL证书颁发机构合作以赛门铁克的名称颁发证书。赛门铁克将在技术上成为一家子CASub CA。
谷歌和其他浏览器厂商希望将SSL签发权转移到另一个CA的基础设施上防止赛门铁克破坏规则为不应该签发证书的站点颁发证书。与此同时赛门铁克可以默默地准备一个新的基础设施构建其新的SSL业务。然而该公司已经开始考虑出售CA业务。
第二阶段Chrome 66不信任赛门铁克部分证书2018年4月
谷歌Chrome 66发布时预计2018年4月将开始第二阶段的惩罚。从Chrome 66版本开始Chrome将不信任2016年6月1日之前签发的所有赛门铁克SSL证书。
第三阶段Chrome 70完全不信任赛门铁克所有证书2018年10月
这个搜索巨头和其他公司指责赛门铁克公司发布了误导和错误的证书,后来发现赛门铁克公司允许非信任组织发布证书,而不需要严格的监督,这迫使数千个站点抛弃他们的付费证书,用新的证书替换它们,以防止一旦Chrome 70截止日期到来,站点出现错误消息。
Chrome 70将于10月16日左右发布,届时浏览器将开始阻止运行2016年6月之前发布的旧赛门铁克证书的网站,
包括传统品牌Thawte,VeriSign,Equifax,GeoTrust和RapidSSL证书。
谷歌Chrome 70发布时预计2018年10月Chrome将不信任2017年12月1日之前签发的所有赛门铁克SSL证书。
谷歌Chrome将删除赛门铁克当前所有根证书赛门铁克收购的其他CA如GeoTrustThawte和Rapid SSL都将遭受同样的惩罚FirFox、Safari等浏览器厂商可能不久后也会跟进。
在应用程序或网站上使用了Symantec SSL证书及其旗下GeoTrustThawte和Rapid SSL证书的网站管理者应尽快替换其他全球信任的SSL证书。
谷歌已经公布了未来赛门铁克在Chrome上不信任的时间表:
Mozilla还宣布计划在2018年10月发布Firefox 63以取消赛门铁克根证书。
免费HTTPS证书提供商Encrypt今年早些时候赢得了包括苹果、谷歌、微软和Mozilla在内的所有主要浏览器制造商的信任。迄今为止其已经发行了超过3亿8000万张证书。
参考链接:
Google Chrome正式宣布将不再信任旧版赛门铁克所有SSL证书
安全证书问题,Chrome70更新后数百家热门网站关闭
https://baijiahao.baidu.com/s?id=1614004061641541810&wfr=spider&for=pc
Digicert提前发现Chrome70对于Symantec颁发的证书不信任 https://www.sohu.com/a/228649650_100128599
*如果你觉得作者文章还满意的话,打赏作者,作者将更加努力好的技术文章分享给大家。
