​《谷歌Chrome正式宣布将不再信任赛门铁克所有SSL证书》的误读与正解 ...

近几日，《Google Chrome 正式宣布将不再信任赛门铁克所有 SSL 证书》一文在互联网快速传播，笔者作为一名数字证书相关理论与应用的研究者，经向 Symantec 系数字证书服务提供方（CA、CA 代理商等）多方核实，《Google Chrome 正式宣布将不再信任赛门铁克所有 SSL 证书》存在以偏概全等误读的现象，现正解如下。

当前，Symantec 所有 SSL 证书均能正常使用。Symantec 用以 SSL 证书签发的 PKI 系统将于近期进行安全升级，并预期最迟不晚于 2017 年 12 月上线。Google 重视并认可 Symantec 此次更新，为有效区分新老系统所签发的 SSL 证书，Google 计划在 2018 年 10 月 23 号后发布的 Chrome 版本中，不再信任 Symantec 原 PKI 系统签发的证书，故“不再信任赛门铁克所有 SSL 证书”说法有误。

原文“2015 年 12 月 Google 发布公告称 Chrome、Android 及其他 Google 产品将不再信任赛门铁克(Symantec)旗下的“Class 3 Public Primary CA”根证书。”原 VeriSign 现 Symantec 根证书“Class 3 Public Primary CA”（通用名：Class 3 Public Primary Certification Authority，习惯用名：VeriSign Class 3 Public Primary CA）有三个不同有效期限的版本，这三个版本的数字证书部分参数如下：

1. 序号：‎70bae41d10d92934b638ca7b03ccbabf，哈希值（SHA1）：‎742c3192e607e424eb4549542be1bbc53e6174e2，有效期限（UTC）：19960129-20280801
   

2. 序号：‎00e49efdf33ae80ecfa5113e19a4240232，哈希值（SHA1）：‎‎4f65566336db6598581d584a596c87934d5f2ab4，有效期限（UTC）：19960129-20040107
   

3. 序号：‎3c9131cb1ff6d01b0e9ab8d044bf12be，哈希值（SHA1）：‎a1db6393916f17e4185509400415c70240b0ae6b，有效期限（UTC）：19960129-20280802

目前，包括 Google、Microsoft、Adobe、Mozilla 等各大厂商均已移除上述后两个版本的根证书的信任（注：移除/取消信任和不信任在 CA 领域中非同一概念），第一个版本的根证书仍有效，当前 Symantec 系 Symantec 品牌的代码签名和 SSL 数字证书，不论是 OV 等级还是 EV 等级，所签发的证书信任链仍起始于上述第一个版本的根证书，所以，Google 等不再信任“‘Class 3 Public Primary CA’根证书”亦以偏概全，不实，极易给用户带来误解。

原文还提及“赛门铁克已同意该提案外媒报道称其已经在考虑出售 CA 业务”。

早在 2016 年初，笔者以数字证书爱好者的身份与沃通(WoSign)官方人员交流时就已提及，早在 2013 年，Symantec 就被曝欲出售 CA 业务，尽管这距 Symantec 并购 VeriSign 才刚过去 3 年。因此，“赛门铁克已同意该提案外媒报道称其已经在考虑出售 CA 业务”非肇始于此番 Symantec 被 Google 采取相关措施，可能的情况是经此事件，Symantec 或坚定其出售 CA 业务的决心，仅此而已。

为大家梳理几个重要的时间节点：

1. 2016 年 6 月 1 日（均为 UTC 时间，下同）始，Symantec SSL 证书均内置有 Certificate Transparency（证书透明度）；

2. 2017 年 12 月 1 日始，Symantec 新 PKI 服务生效；

3. 2018 年 4 月 17 日，Google Chrome V66 将不再信任不支持证书透明度的 SSL 数字证书（注：此项规则适用于所有 CA，不针对 Symantec）；

4. 2018 年 10 月 23 日，Google Chrome V70 将不再信任 Symantec 当前 PKI 下签发的数字证书。

来自：cnBeta.COM