Chrome 70 开始不信任 Symantec 证书了,又要有一大批网站更换证书吧

2018-07-26 22:46:26 +08:00
 nyanyh
Version 70.0.3503.0 (Official Build) canary (64-bit)
访问 v2ex.com 已经弹出 NET::ERR_CERT_SYMANTEC_LEGACY 错误了,B 站使用的一个 acgvideo.com 也一样的证书错误

https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html
中文版: https://googledeveloperschina.blogspot.com/2017/09/chrome-symantec.html
看了下 Google 的博客,还包括 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL

Chrome 70 大约将在 2018 年 10 月 23 日所在的那一周发布,此版本将完全移除对 Symantec 旧基础架构及其已经发放的所有证书的信任。这将影响来自 Symantec 根证书的所有证书,但之前已经向 Google 披露的独立运营和审计的附属证书授权机构发放的少量证书不受影响。
需要从 Symantec 现有根证书和中间证书获取证书的网站运营者在 2017 年 12 月 1 日前仍可以从旧基础架构获取,但是,需要在 Chrome 70 之前重新替换这些证书。此外,从 Symantec 基础架构发放的证书的有效期将限制为 13 个月。网站运营者也可以从 Chrome 当前信任的任何其他证书授权机构获取替代证书,这些证书不受取消信任或有效期限的影响。

p.s Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误


11897 次点击
所在节点    程序员
21 条回复
bclerdx
2018-07-26 22:56:01 +08:00
Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误,这个怎么操作,请示范一下。
nyanyh
2018-07-26 22:59:06 +08:00
@bclerdx 就是在 Chrome 的错误页面,点页面空白处一下让键盘焦点处于页面内,然后依次按下 thisisunsafe,页面就会自动刷新了
sneezry
2018-07-26 22:59:49 +08:00
@bclerdx 就依次按下那几个键就行,不需要找什么输入框
bclerdx
2018-07-26 23:21:53 +08:00
@nyanyh
@sneezry
嗯,谢谢两位啦!
yohanechan
2018-07-26 23:27:33 +08:00
很多原来使用 Symentec 证书的网站换成了 DigiCert 证书,包括但不限于 Alipay、WeChat、CNNIC、知乎 和 学信网。Symentec 旗下品牌证书也在逐步使用 DigiCert 根证书,高端市场只剩 GlobalSign 和 DigiCert 两家独大。
redsonic
2018-07-26 23:36:53 +08:00
唉,好吧我又要把 mozilla-nss 里的一堆证书拉黑了。
bclerdx
2018-07-26 23:50:20 +08:00
@redsonic 拉黑干嘛?
wdlth
2018-07-27 00:05:55 +08:00
可惜 Google 还用着赛门铁克的代码签名证书……
honeycomb
2018-07-27 00:09:04 +08:00
@nyanyh 谢谢 workaround
wdlth
2018-07-27 00:24:11 +08:00
财付通没有换,看来已经不行了……
lhx2008
2018-07-27 00:25:57 +08:00
所以还有一年的免费证书可以申请吗
cpdyj
2018-07-27 01:07:21 +08:00
不知道对 let's encrypt 有没有影响
580a388da131
2018-07-27 01:26:30 +08:00
换 Google 自己的,一步到位。😒
nciyuan
2018-07-27 01:56:34 +08:00
@cpdyj Let's Encrypt Single 和 Let's Encrypt Wildcard 都是由直接根信任的 DST X3 签出来的 LE X1-4,虽然沃通和 StartCom 被 360 搞死了,赛门铁克被自己和谷歌搞死了,但是别忘了沃通最开始的证书是怎么提权信任的,就是靠 StartCom 的和 Comodo 的交叉信任提升为 Root CA,而大家也看到了 Comodo 的力量,这家公司真的是哲学般的牛逼。
@580a388da131 谷歌的小 CA 证书是由 GlobalSign R2 直接信任根证书签发的。
maogang39
2018-07-27 08:19:31 +08:00
苏宁的证书还是沃通的
helllkz
2018-07-27 10:58:03 +08:00
@cpdyj
Let's encrypt 都有 chrome 赞助的,那肯定是信任的
redsonic
2018-07-27 13:55:56 +08:00
@bclerdx 因为其他应用又不跟随 chrome,要想同样不信任这些证书只能拉黑 mozilla-nss 里面的证书。
Love4Taylor
2018-08-04 14:43:47 +08:00
刚更新了 70.0.3510.0 (Official Build) dev (64-bit)
不过 v2 和 b 站都没报错, 奇怪...
7emes
2018-08-07 03:32:28 +08:00
@Love4Taylor 国外的 ip 访问的话没问题。
nnnnnelson
2018-09-29 16:36:16 +08:00
@作者 @nyanyh @sneezry 谢谢几位了, 整了一个小时都没整好的问题, 原来还有这种高端操作!

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/474497

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX