Chrome訪問非登記SSL證書HTTPS網站 將全屏警告

Chrome訪問非登記SSL證書HTTPS網站 將全屏警告

自5月2日開始,訪問尚未在公共證書透明度(CT)日誌中登記SSL憑證的HTTPS網站,Chrome瀏覽器將會顯示全屏警告。這樣做使Chrome瀏覽器成為首個部署支持Certificate Transparency Log策略的瀏覽器,其他瀏覽器也承諾會在未來跟進支持這一機制,但是目前並未提供更多的細節。

CA 必須記錄所有新發出的 SSL憑證

CT日誌記錄策略規定證書頒發機構(CA) – 頒發SSL憑證以支持HTTPS連接的組織必鬚髮布包含他們每天發布的所有SSL憑證的日誌。這些日誌必須要是公開的。因此瀏覽器廠商、CA同行以及獨立研究人員都能自由地隨時調查是否存在錯誤簽發的證書。
CA始終保存他們頒發的證書的日誌,但這些都是私人的,只有在瀏覽器製造商調查證書洩漏的情況下才能使用。


大多數 CA 已經發布了 CT 日誌

在市場份額超過60%的情況下,大多數 CA 從去年開始發佈公共 CT 日誌,當時很明顯谷歌將在 Chrome 中實施這項新政策。 Google 工程師還添加了一個 Chrome 策略標誌,允許系統管理員在 Chrome 部署 在Intranet 中的情況下禁用 CT 日誌檢查行為。

新的 CT 政策不具追溯力。這意味著在今天之前發布的尚未記錄在 CT 日誌中的舊版證書將繼續有效。但是如果 CA 從今天開始頒發了新的 SSL憑證 並且沒有將其記錄在公共 CT 日誌中,則 Chrome 將顯示錯誤。

史上最便宜探集SSL憑證700元起

About the Author

Leave a Reply