赛门铁克重新发布：数以百万计的SSL证书将在周二不受信任

Google Chrome 66不会信任2016年6月1日前发布的任何Symantec，GeoTrust，Thawte和RapidSSL证书

在4月17日星期二，谷歌将推出其最新版本的浏览器Chrome 66，以稳定，有效地消除2018年6月1日前发布的任何赛门铁克CA品牌（赛门铁克，GeoTrust，Thawte和RapidSSL）SSL证书。一旦Chrome 66用户开始更新其浏览器后，任何仍在使用受影响的Symantec CA品牌SSL证书的网站都将受到浏览器警告的打击。

简单地说：如果您的Symantec CA品牌SSL证书是在2016年6月1日之前发布的，并且您没有将其重新发布到DigiCert根目录，则60.4％的美国互联网用户将无法访问您的网站，而无需点击警告。

赛门铁克不受信任

不用说这是一件大事。我不必引用你的研究，让你意识到几乎没有人点击警告。

因此，在您继续阅读本文之前，请停止正在进行的操作，并使用此工具检查您是否会受到周二的不信任影响。

工具：Symantec重新发行检查器

再次，这是针对任何人在2016年6月1日前使用Symantec，GeoTrust，Thawte或RapidSSL证书颁发的。

为什么Google不信任赛门铁克？

整个情况始于2015年，当谷歌与赛门铁克联系了一些可能发布错误的SSL证书时。这种情况本身是微不足道的。但是，第二年，当谷歌意识到更多的错误发行时，它变得更加重要，因为现在谷歌可能会认为它失去了对赛门铁克PKI的信任。

谷歌认为，赛门铁克没有正确地监督其在全球范围内进行验证的几个地区当局。再加上谷歌现在认为是一种错误发行模式，为这种不信任奠定了基础。赛门铁克最终与Google进行了谈判，并同意与另一个证书颁发机构合作，以便在重建公钥基础设施的同时继续颁发证书。在赛门铁克看来，实现这一目标的最好方式是将其业务的CA部分出售给DigiCert，除了新证书现在链接到的根源之外，DigiCert将继续按照现状运营它。

谁是对的？Google还是赛门铁克？

这是一个复杂的问题。首先让我说，Hashed Out在SSL商店中拥有相当程度的自主权，但值得注意的是，SSL商店是赛门铁克的白金精英合作伙伴（现在与其新的所有者DigiCert合作）。话虽如此，谷歌对赛门铁克所犯的错误是正确的。考虑到其中一个错误发布的2016年测试证书是针对Google.com的，它有权被激怒。

与此同时，赛门铁克指出实际上并没有真正的伤害发生，并没有错。虽然他们不同意错误发布的测试证书的数量（33对30K - 相当范围），但没有人滥用任何证书。没有人输钱。没有人死亡。

谷歌的决定有点严峻。而且我通过添加“一点”来对冲。从“你错误地发布了一些测试证书”到“现在我将不信任从这些根发布的每个SSL证书”是一个非常大的飞跃。值得注意的是，谷歌（以及Mozilla在某种程度上）也可能也试图从赛门铁克做出一个例子。但正如我们将在周二看到的那样，这将最终导致巨大的破坏性，我认为很少有人推动这种预期。

但是，赛门铁克和谷歌之间的争议再次浮出水面。如果您使用的是受影响的证书，则没有太多剩余时间可以重新发布。

谷歌将在10月份不信任所有的Symantec CA品牌SSL证书

我们不知道具体的日期 - 可能在10月23日周末左右 - 但随着Chrome 70的发布，任何未在2017年12月1日之后颁发的DigiCert PKI上的Symantec CA品牌SSL证书都将不受信任。这意味着，如果您还没有重新发放您的证书，那么您必须等到10月份，否则Google会对您的网站证书感到不安。

显然我们会继续提醒你直到那一刻。

至于4月17日的截止日期，请再次使用Symantec重新发布工具来确保您不会受到影响。如果你是，不要再浪费时间了。你还剩下几个小时就太迟了。