技术社区 来源:蓝点网 2025-06-04 04:19:04 阅读:25
日前谷歌发布消息称由于合规性问题持续存在且未能做出改进,谷歌将停止信任由中华电信和 Netlock 签发的根证书 (ROOT CA),停止信任将在 2025 年 8 月 1 日发布的 Google Chrome 139 中实现。
中华电信是台湾的综合电信业务提供商,Netlock 是匈牙利的 IT 咨询公司,这两家公司都运营数字证书服务并且为根证书签发者,可以向下为中级 CA 签发证书,可以签发最终数字证书。
在公告中谷歌称:
由于过去一年观察到的令人担忧的行为模式,Chrome 对中华电信和 Netlock 作为 Chrome CA 所有者的可靠性信心已经下降。这些模式代表着完整性的丧失且没有达到预期,这也削弱人们对这些 CA 所有者作为 Chrome 默认信任的公共证书颁发者的信任。
从 8 月 1 日起用户升级到 Chrome 139 版后若访问由中华电信或 Netlock 签发证书的网站时,Chrome 将拒绝连接并提示您的连接不是私密的,这将严重影响使用这些证书的网站或服务。
因此使用这两家 ROOT CA 机构签发证书的网站应当在 7 月 31 日之前更换为其他受信任的数字证书,考虑到 Chrome 浏览器的市场占有率,大多数用户都将无法正常访问。
按惯例接下来浏览器四大金刚中的其余三家 Microsoft、Apple 和 Mozilla 应该也会跟进谷歌的策略对以上 ROOT CA 进行封锁,尽管不同公司封锁的时间可能会有差异,但最终结果就是被彻底封锁。
被封锁的 ROOT CA 想要恢复是个很难的事情,以前赛门铁克因为类似事件遭到封杀,随后赛门铁克整体业务一落千丈并且现在已经逐步淡出人们的视野。
负责制定数字证书签发和验证的行业机构 CA / 浏览器论坛在 2024 年 9 月讨论过 WHOIS 验证申请证书并认为这种方式已经过时,因此当时该机构就提出要直接弃用这种验证方式。CA / 浏览器论
CA(Certificate Authority,证书授权)由认证机构服务提供者签发,是数字签名的技术基本保障,也是网上实体身份的证明,可以证明实体身份及其公钥的合法性,证明实体与公钥的匹配关系。证书
Copyright © 2015 KnowSafe All rights reserved.
公司地址:成都市高新区天府大道北段1700号
业务邮箱:Sales@knowsafe.com
