Google Chrome 开始对无记录 SSL 证书弹出警告

发布日期：2018-05-03

Google Chrome 开始对无记录 SSL 证书弹出警告

Google Chrome 浏览器从五月一日起开始对在 Certificate Transparency (CT) 系统日志中没有记录的 SSL 证书弹出警告。Chrome 是第一个实现支持 Certificate Transparency Log Policy 的浏览器，其它浏览器开发商也都同意未来支持这一机制。这一政策是 Google 工程师在 2016 年提出的，2018 年生效。该政策要求所有证书签发机构在 CT 中公开它们每天签发的证书。绝大多数 CA 都已经支持公开记录证书的政策。

原文如下：

从今天开始，每当用户访问使用尚未记录在公共证书透明度（CT）日志中的SSL证书的HTTPS网站时，Google Chrome浏览器将显示整页警告。

通过这样做，Chrome成为第一个实现对证书透明度日志策略支持的浏览器。其他浏览器制造商也同意在未来支持这一机制，尽管他们没有提供更多细节。

CA必须记录所有新发出的SSL证书

CT日志记录策略规定证书颁发机构（CA） - 颁发SSL证书以支持HTTPS连接的组织必须发布包含他们每天发布的所有SSL证书的日志。

这些日志必须公开，因此浏览器制造商，同行CA或独立研究人员可以随时自由调查错误签发的证书。

CA始终保存他们颁发的证书的日志，但这些都是私人的，只有在浏览器制造商调查证书泄漏的情况下才能使用。

大多数CA已经发布了CT日志

在市场份额超过60％的情况下，大多数CA都看到了写在墙上的文字，并从去年开始发布公共CT日志，当时很明显谷歌将在Chrome中实施这项新政策。

“Chrome将要求2018年4月30日之后发布的所有TLS服务器证书符合Chromium CT政策，”Google工程师Devon O'Brien 在今年早些时候Google组织讨论中写道，当时他宣布了新的截止日期。

“在此日期之后，当Chrome连接到一个服务于不符合Chromium CT政策的公开信任证书的网站时，用户将开始看到整页插页式广告，表明他们的连接不符合CT标准，”O'Brien补充道。“通过不符合CT规范的HTTPS连接提供的子资源将无法加载，并且会在Chrome DevTools中显示错误。”

这些更改首先推出到Chrome桌面平台，其中包括适用于ChromeOS，Linux，macOS和Windows的Chrome。

Google工程师还添加了一个Chrome策略标志，允许系统管理员在Chrome部署在Intranet中的情况下禁用CT日志检查行为。

新的CT政策不具有追溯力

新的CT政策不具追溯力。这意味着在今天之前发布的尚未记录在CT日志中的旧版证书将继续有效。

但是如果CA从今天开始发布了新的SSL证书并且没有将其记录在公共CT日志中，则Chrome将显示错误。

好消息是，许多CA已经开始在公共日志中记录证书并相互共享数据。默克尔镇（由CloudFlare运营）和Crt.sh（由Comodo运营）是两个聚合CT日志的网站。

这种工具已经在今年早些时候的工具，当用户注意到，韩国政府控制的CA已经misissued的SSL证书对整个* .go.kr顶级域名，允许其经营者拦截流量使用TLD所有网站。这一发现是由一位独立的安全研究人员做出的，随着公共CT日志现在成为事实上的标准，预计将来会出现更多像这样的情况。

本文转自bleepingcomputer。

Google Chrome 开始对无记录 SSL 证书弹出警告