如果未來(lái)2個(gè)月內(nèi)還不更換HTTPS證書,被標(biāo)記為不安全網(wǎng)站就在所難免了。
去年9月,谷歌宣布不再信任賽門鐵克頒發(fā)的SSL/TLS證書。今年4月中旬開始,使用賽門鐵克于2016年6月1日之前或2017年12月1日之后頒發(fā)證書的網(wǎng)站,會(huì)被谷歌Chrome瀏覽器彈出安全警告,用戶必須點(diǎn)擊忽略該警告才可以訪問這些網(wǎng)站。
即便所用證書是中間商所頒發(fā),但只要其信任根是賽門鐵克的,依然會(huì)遭遇彈出警告。比如說(shuō),歐洲服務(wù)器租用 云服務(wù)器,依賴賽門鐵克作為信任根的Thawte、GeoTrust和RapidSSL,就會(huì)受到谷歌此決定的重創(chuàng)。如果不確定,可以查看自己證書的根證書頒發(fā)機(jī)構(gòu)以確定是否是賽門鐵克所頒發(fā)。
將于2017年4月17日發(fā)布的Chrome Build 66就將應(yīng)用該警告策略,而將在10月23日發(fā)布的Build 70則會(huì)更進(jìn)一步,直接不信任所有賽門鐵克頒發(fā)的證書。
當(dāng)然,不是所有人都用Chrome,也不是所有Chrome用戶都會(huì)及時(shí)升級(jí)到最新版,但這依然會(huì)讓還未獲得其他機(jī)構(gòu)所頒HTTPS證書的網(wǎng)站頭疼。
問題是:有多頭疼?該版Chrome的早期試用人員警告:他們?cè)谏暇W(wǎng)過程中不停遭遇使用非受信證書的網(wǎng)站,頻繁看到該危險(xiǎn)警告信息。幸運(yùn)的是,一名安全工程師寫了個(gè)腳本來(lái)測(cè)試該問題到底有多嚴(yán)重。
這名安全工程師在房屋租賃網(wǎng)站Airbnb工作,他爬取了Alexa上列出的前100萬(wàn)家大型網(wǎng)站的證書信息,測(cè)試這些網(wǎng)站會(huì)不會(huì)因谷歌的賽門鐵克證書封殺策略而崩潰。
該腳本運(yùn)行了11個(gè)小時(shí),產(chǎn)生了一些非常有意思的結(jié)果:100萬(wàn)家大型網(wǎng)站中,僅11510家在4月還能正常運(yùn)行,91627家到了10月就面臨訪問受阻的窘境了。
商業(yè)紛爭(zhēng)
1萬(wàn)多家還是不少了,而且其中包括了一些大公司和政府機(jī)構(gòu),比如新能源汽車廠商特斯拉(Tesla.com)、濾水器公司碧然德(Briat.com)、澳大利亞能源監(jiān)管機(jī)構(gòu)(aer.gov.au)等。該問題不像千年蠕蟲那么重大和緊迫,免備案空間 香港服務(wù)器,這些機(jī)構(gòu)都可以從其他頒發(fā)機(jī)構(gòu)購(gòu)買證書,或者使用免費(fèi)證書。但是,如果不采取行動(dòng),4月之后就有很多人要不開心了,到了10月,不開心的人數(shù)還會(huì)更多。
該測(cè)試腳本的運(yùn)行結(jié)果已上傳到網(wǎng)上,系統(tǒng)管理員或網(wǎng)站管理員可以查詢一下,確保自家網(wǎng)站不在4月之后就頭疼的行列。當(dāng)然,更聰明的做法是將所有賽門鐵克證書都換掉。
谷歌僅憑拒絕接受賽門鐵克證書就將一家公司的整個(gè)證書頒發(fā)業(yè)務(wù)踢出市場(chǎng),如此巨大的能量卻沒有引發(fā)什么太大的震蕩,人們對(duì)此并不擔(dān)心。
畢竟,如果不是賽門鐵克老是錯(cuò)誤頒發(fā)SSL/TLS證書,其產(chǎn)品的可信度早已流失,而且還直接損害到了google.com,谷歌也不會(huì)做出如此毫不留情的決定。
一家靠用戶信任度維生的公司,就應(yīng)該預(yù)想到發(fā)生信任危機(jī)的可怕后果。賽門鐵克當(dāng)然非常不高興,在博客中使用了大量怒氣值滿滿的語(yǔ)言評(píng)價(jià)此事,比如“不負(fù)責(zé)任的”、“夸大其詞的”、“誤導(dǎo)性的”等等。
該公司宣稱,只有127個(gè)證書是錯(cuò)誤頒發(fā)的,而不是之前所說(shuō)的3萬(wàn)個(gè)。但事實(shí)擺在眼前,就在博客披露幾個(gè)月后,隨著谷歌的拒不讓步,賽門鐵克將其證書業(yè)務(wù)賣給了DigiCert。
不想在4月17日早晨被網(wǎng)站無(wú)法訪問的投訴淹沒的話,最好馬上著手證書更換事宜。
腳本運(yùn)行結(jié)果:
https://raw.githubusercontent.com/arkadiyt/symantec-certificate-checker/master/bad_m66.txt
