谷歌近日宣布,由于“持续存在的合规问题”,其 Chrome 浏览器将不再信任来自两家证书颁发机构(CA)——中华电信(Chunghwa Telecom)和匈牙利的 Netlock——所签发的 SSL/TLS 证书。此举意味着这两家机构的客户需尽快迁移至其他可信 CA,否则网站访问时将显示安全警告。
🛑 停止信任原因:合规失败与改进乏力
Chrome 安全团队表示,在过去一年中观察到这两家 CA 存在“令人担忧的行为模式”,包括:
- 多次未能遵守行业标准;
- 对此前问题的整改缺乏实质性进展;
- 公开事件报告不透明、更新滞后。
团队指出:“结合这些因素以及 CA 在互联网基础设施中的固有风险,继续信任它们已不再合理。”
这一决定并非临时起意。拥有二十多年 CA 行业经验的安全研究员 Ryan Hurst 表示,浏览器厂商对 CA 的“去信任”行为平均每 15 个月会发生一次,常见原因包括证书误发、监管缺失、日志披露不完整等。
⚠️ 涉及的具体违规行为
尽管谷歌未明确列出所有具体事件,但 Hurst 根据历史记录总结了两家机构的部分问题:
Netlock:
- 超过一年未向公共 CA 数据库披露一个中间证书;
- 未能及时撤销一张错误签发的证书;
- 缺乏对安全事件所需的定期更新机制。
中华电信:
- 延迟撤销一张错误签发的证书;
- 错误签发了 247 张主题域名格式不正确的证书。
这些失误虽然看似微小,但在数字证书体系中可能带来严重的安全漏洞,影响用户对网站真实性和数据加密的信任。
📅 过渡期安排:7 月 31 日起正式生效
为避免服务中断,谷歌设定了一个过渡窗口期:
Chrome 将从 2025 年 7 月 31 日起,停止信任这两家 CA 签发的所有新证书。
这意味着在此日期之后签发的证书在 Chrome 中将触发安全警告页面。不过,此前已签发且仍在有效期内的证书仍将在一段时间内被接受。
🔁 用户建议:尽快迁移至其他 CA
对于目前使用中华电信或 Netlock 提供证书的网站运营者,建议尽快联系新的证书颁发机构并完成证书更换。若未及时处理,可能会导致访客无法正常访问网站,并影响品牌信任度。
📄 关于证书颁发机构(CA)
CA 是互联网安全体系的重要组成部分,负责验证网站身份并为其颁发用于 HTTPS 加密的数字证书。一旦浏览器不再信任某 CA,其签发的证书将被视为不可信,直接威胁网站安全性展示和用户体验。
评论