谷歌访问非登记 SSL 证书的 HTTPS 网站将全屏警告

2018-05-03, 发表于【业界时事】

自今天开始,访问尚未在公共证书透明度(CT)日志中登记 SSL 证书的 HTTPS 网站,Chrome 浏览器将会显示全屏警告。

这样做使 Chrome 浏览器成为首个部署支持 Certificate Transparency Log 策略的浏览器,其他浏览器也承诺会在未来跟进支持这一机制,但是目前并未提供更多的细节。

该计划最初由 Google 工程师于 2016 年提出,计划于 2017 年 10 月生效,但后来延迟到 2018 年发布。

CA 必须记录所有新发出的 SSL 证书

CT日志记录策略规定证书颁发机构(CA) - 颁发SSL证书以支持HTTPS连接的组织必须发布包含他们每天发布的所有SSL证书的日志。

这些日志必须要是公开的。因此浏览器厂商、CA同行以及独立研究人员都能自由地随时调查是否存在错误签发的证书

CA始终保存他们颁发的证书的日志,但这些都是私人的,只有在浏览器制造商调查证书泄漏的情况下才能使用。

大多数 CA 已经发布了 CT 日志

在市场份额超过60%的情况下,大多数 CA 从去年开始发布公共 CT 日志,当时很明显谷歌将在 Chrome 中实施这项新政策。

Google 工程师 Devon O'Brien 此前曾表示:“Chrome 要求在 2018 年 4 月 30 日颁发所有 TLS 服务证书都必须要符合 Chromium CT 策略。”这些更改首先推出到 Chrome 桌面平台,其中包括适用于 ChromeOS,Linux,macOS 和 Windows 的Chrome。

Google 工程师还添加了一个 Chrome 策略标志,允许系统管理员在 Chrome 部署 在Intranet 中的情况下禁用 CT 日志检查行为。

新的 CT 政策不具追溯力。这意味着在今天之前发布的尚未记录在 CT 日志中的旧版证书将继续有效。但是如果 CA 从今天开始颁发了新的 SSL 证书并且没有将其记录在公共 CT 日志中,则 Chrome 将显示错误。

文章转载自 开源中国社区 [http://www.oschina.net]