#安全资讯 谷歌宣布从 11 月 1 日 Chrome 127 + 版开始停止信任 Entrust/AffirmTrust 签发的新 TLS 证书,原因是其出现多次问题已经不值得再信任。Entrust 近年来出现多次问题,倒不是签发错误证书之类的,而是安全基础设施总是存在各种错误、问题百出。查看全文:https://ourl.co/104733
创立于 1994 年的美国私营软件公司 Entrust 颁发的数字证书将在谷歌和谋智基金会除名,目前谷歌已经发布消息称从 2024 年 11 月 1 日起,Chrome 127 及后续版本均不再信任 Entrust 或其关联公司 AffirmTrust 新签发的证书。
尽管火狐浏览器什么时候停止信任暂时还没有明确消息,不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的,所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。
需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任,而 11 月 1 日之后新签发的证书才会被作废,到时候浏览器将默认阻止用户打开此类网页。
以 Google Chrome 为例:
当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时,Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。
这种情况下用户仍然可以点击高级然后继续加载网站,而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。
为什么要停止信任 Entrust:
谷歌在博客中并未直接说明停止信任的详细原因,但强调 Entrust 近年以来出现多次问题,相关链接指向 Mozilla Bugzilla 的讨论专题中。
从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题,例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。
相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书,Entrust 似乎没出现过这类问题,但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。
通常情况下讨论这些问题时 CA 厂商也会参与,显然 Entrust 至今没有彻底解决这些问题才会让谷歌和 Mozilla 彻底失望,不如直接停止信任算了。
基本等于判了死刑:
对 ROOT CA 来说,如果 Chrome 和 Firefox 停止信任,那么这个公司签发的证书基本上就是废纸,毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。
后续苹果估计也会在 Safari 中撤销 Entrust 证书,到时候 Entrust 的 TLS 证书业务会彻底瘫痪,要么代码签名证书可能还能用,这个取决于微软是否会撤销 Entrust 的证书。
多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任,以此事为开端,之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售,现在赛门铁克几乎已经变成行业小透明了。