自CT標準(證書透明度)誕生以來,各大瀏覽器廠商都在嘗試執行該標準,一直以來都是以自願的形式。谷歌為了讓證書頒發機構適應這一標準,一而再的推遲強制實施制度的日期。
據國外媒體報道,Google Chrome 68正式版在7月份正式發佈,CT標準將會強制執行。屆時,如果網站的SSL證書是2018年4月30日後頒發的,且沒有記載到證書透明日誌,當用戶通過Chrome 68訪問的網站將會收到整頁的不安全警告,其提供的子資源也無法加載。也就是說,2018年4月30日之前發佈的任何證書並不用加入證書透明制。
4月30日的截止日期是針對證書頒發機構的。僅僅是業內變動,與客戶端用戶無關。如果目前CA機構頒發的證書尚未登記到證書透明日誌中,並且已部署到服務器上。在Chrome 68發佈之前還有機會做調整。但到7月份Chrome 68正式版發佈了,仍舊使用尚未登記證書透明制的證書才會波及您的用戶訪問。
如何檢查SSL是否已登記到證書透明日誌中?
下面的方法可以檢查您的證書是否已記錄,並查看它是否會觸發任何警告:
測試新頒發證書以符合標準,站長和CA機構可在Chrome 67的功能中做檢測,在開發者工具中,“安全”面板提供有關連接和證書的詳細信息,包括連接和證書是否支持證書透明。或者,對於想要測試被主動阻止的使用非法證書的站點管理員,可以通過以下命令行標識來實現:
–enable-features=”EnforceCTForNewCerts
目前,絕大多數的CA機構頒發(包括GDCA證書頒發機構)的SSL證書均符合CT標準。因此,七月份的客戶端警告現象並不會普遍存在。
分享到:
閱讀更多 GDCA數安時代 的文章
