苹果将在明日起停止信任无CT日志的赛门铁克证书
此前赛门铁克因出现违规签发数字证书的问题遭到行业抵制,赛门铁克现已将证书业务出售给新的合作伙伴。
目前谷歌浏览器已经开始拦截原赛门铁克签发的数字证书,仍使用旧版赛门铁克数字证书的网站应立即更换。
同时苹果公司将在今年秋季彻底停止信任原赛门铁克证书,不过明日起部分未支持透明度的证书将不被信任。
证书透明度CT介绍:
数字证书透明度项目是由谷歌公司发起的、目前已经获得全行业支持的加密数字证书检测以及安全审计系统。
该系统在数字证书签发后提供运行和监测日志以便能够在数字证书颁发机构存在违规或不当签发时可被识别。
当前绝大多数浏览器和操作系统都已要求证书提供透明度日志,若无法提供则浏览器和操作系统会拒绝验证。
明起苹果不再信任部分无CT日志的赛门铁克证书:
苹果要求在2016年6月1日之后到2017年12月1日前签发的原赛门铁克数字证书必须提供证书透明度CT日志。
如果此类证书无法提供证书透明度日志则会苹果拦截,即苹果旗下的操作系统和浏览器都不再信任此类证书。
但例外的是在此期间签发的数字证书如果支持透明度日志,则信任周期会继续到2018 年10月15日才会截止。
最简单的办法就是申请换发证书:
赛门铁克已经将证书业务出售给新的合作伙伴,当前原赛门铁克系列证书都已经可以申请更换新的数字证书。
所以网站管理员和应用程序开发者只需要前往原本的证书颁发机构申请更换证书即可,新证书都可以被信任。
申请换发证书本身也是免费的,即原本赛门铁克根证书现在换成DigiCert的根证书、可被所有操作系统信任。