Apple将于7月20日停止信任非CT登录的SSL/TLS证书

苹果公司已经明确了赛门铁克CA不信任计划,其中有即将到来的7月20日的最后期限。2016年6月1日至2017年12月1日期间签发的任何Symantec CA SSL证书如果未发布到证书透明度日志,将不受信任。这仅适用于Symantec CA证书,对于SSL / TLS生态系统的其余部分,Apple的CT截止日期仍为10月15日。

该公告是苹果公司赛门铁克CA不信任计划的补充

除了浏览器中的Web内容之外,该要求不会影响SSL / TLS用例。 受影响的申请将包括:

    macOS High Sierra

    macOS应用程序

    iOS 11

    iOS应用

    Safari浏览器

这不太可能产生重大影响,因为不信任将主要影响已经被谷歌Chrome浏览器和Mozilla Firefox处罚的证书。 此外,赛门铁克此前与谷歌的混战之后,已经要求记录它发布的证书了。

尽管如此,网站所有者仍希望仔细检查他们的Symantec CA SSL证书,以免他们被四大网络浏览器之一取消信任。

如何判断我的SSL证书是否已经过CT记录?

证书透明度是一个行业的事情,最终用户无需做任何事情来记录自己的证书。 CA必须这样做。 但是,有两种方法可以检查并查看是否已记录您颁发的SSL证书。 第一种方法是检查浏览器中的证书详细信息。

    访问你的网站

    单击浏览器地址栏中的挂锁图标

    查找可以查看证书或证书详细信息的位置

    查找字符串:'1.3.6.1.4.1.11129.2.4.2'

如果找到它,则表示您的证书已被记录。 所有CT记录的证书的OID都相同。 现在,浏览器以不同的方式显示此信息。 例如,Safari将其显示为:

Apple将于7月20日停止信任非CT登录的SSL/TLS证书

Firefox将其称为对象标识符。

Apple将于7月20日停止信任非CT登录的SSL/TLS证书

Google会让您浏览其菜单,从“更多工具”部分选择开发人员工具,然后导航到安全性,您可以通过单击“主要来源”查看证书详细信息。

如何判断我的SSL证书是否已经过CT记录?

如果您正在使用Microsoft Edge,或者只是不想在浏览器中点击,还有另一种方法可以检查。 您还可以使用Symantec的CryptoReport:

转到Symantec CryptoReport。

输入您的网址。

检查:“Certificate Transparency: Embedded in certificate”(证书透明度:嵌入证书)

如果该行存在,则说明已录入CT!

如果不是,并且您使用的是2016年6月1日至2017年12月1日期间颁发的Symantec CA品牌SSL证书,则需要立即重新颁发或更换您的SSL证书。 您的替代品将来自DigiCert,后者现已收购赛门铁克CA,并在过去9个月中一直在努力更换数百万受影响的证书。

评论

发表评论

此字段内容将保密,不会被其他人看见。