怎样看待谷歌宣布逐步降低对赛门铁克 SSL 证书的信任发生了什么事

发生了什么事情2015 年开始，Google 和 Symantec 就有一些证书签发的纷争， Google 取消了 Chrome / Android 等对 Symantec 的「Class 3 Public Primary」根证书信任。2017-01-19 开始，Google 和 Mozilla 调查发现 Symantec 签发了大量未经过验证的 SSL，立项调查，比如「Figure 1」，Symantec 签发了 http://example.com 这个域名证书。2017-03-24 Blink 团队（Chrome’s Engine）在邮件组提案，调整了 Chrome 对 Symantec 旗下证书的信任时间Intent to Deprecate and Remove: Trust in existing Symantec-issued Certificates - Google 网上论坛2017-08-08 开始，chrome 逐渐不信任 2016-06-01 之前颁发的 Symantec / GeoTrust / Thawte / RapidSSL 证书。

带来什么影响影响范围：是 Symantec 以及其旗下的 CA（GeoTrust / Thawte / RappidSSL）。影响效果：CA 证书被不信任之后，其签发的证书会不被信任，使用其证书的 HTTPS 站点在 Chrome 无法访问，Mozilla 往往会跟进。影响证书时间范围是 2016-06-01 之前签发的证书，2016-06-01 之后签发的不受影响。另外，未来不同 Chrome 版本对 Symantec 证书信任时间长度，即最长只会信任 9 个月：
Chrome 59 (Dev, Beta, Stable): 33 months validity (1023 days)Chrome 60 (Dev, Beta, Stable): 27 months validity (837 days)Chrome 61 (Dev, Beta, Stable): 21 months validity (651 days)Chrome 62 (Dev, Beta, Stable): 15 months validity (465 days)Chrome 63 (Dev, Beta): 9 months validity (279 days)Chrome 63 (Stable): 15 months validity (465 days)Chrome 64 (Dev, Beta, Stable): 9 months validity (279 days)作为工程师，我们需要做些什么？已经使用了 Symantec 证书，改怎么办？已经使用了 Symantec 以及 GeoTrust / Thawte / RappidSSL 的证书的 HTTPS 服务，进行证书替换。具体可以参见 Symantec 官方回复：常见问题 - 谷歌证书更换提案 | Symantec是否可以继续使用 Symantec 的证书服务？可以，2016-06-01 之后签发的证书会被信任，但是根据 Chrome 限制，有最长可用长度限制（9 个月）Android 设备会受影响么？提案是 Blink 团队（Chrome\u0026#39;s Engine）提出的，暂时没有发现 Google 会主动吊销已经发行 Android 设备证书。但是可能未来在 Patch 更新 / 系统版本更新时候吊销。未来要做什么事情预防这类事情选一个靠谱、没有黑点的 SSL 供应商（很难，微信使用的证书也是 GeoTrust）在类似安全时间发生时候，快速响应应用程序需要做哪些事情不需要
RefIntent to Deprecate and Remove: Trust in existing Symantec-issued Certificates - Google 网上论坛常见问题 - 谷歌证书更换提案 | Symantec
■网友
赛门铁克犯了Google难以忍受的大忌：未经授权滥签发证书.
根据Google Group的帖子( https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/fyJ3EK2YOP8https://groups.google.com/forum/#!topic/mozilla.dev.security.policy/fyJ3EK2YOP8 )，symantec确实做得过了头，仗着SSL行业老兵（收购自VeriSign）的身份，滥签发了 http://example.com 等域名的证书( crt.sh | a8f14f52cc1282d7153a13316e7da39e6ae37b1a10c16288b9024a9b9dc3c4c6 )，而根据帖子发布者的调查，确认icann并没有授权Symantec签发这些证书。
这张证书的Organization字段是『南韩电子』，由此不难猜出，Symantec跟『南韩电子』是合作关系，甚至开放的权限过于恐怖，允许『南韩电子』不验证网站身份而签发SSL证书。
是不是想起了当年CNNIC（因为滥签发证书逐渐被Google、Mozilla、微软放弃信任）？不说别的，就去年闹得沸沸扬扬的WoSign利用漏洞可由子域名签发主域名事件，就已经导致Google、Mozilla、微软不再信任，现在WoSign已经半死不活重新做起来二级贩子。

怎样看待谷歌宣布逐步降低对赛门铁克 SSL 证书的信任

推荐阅读

本科批省控是什么意思？

[中草药]此三草是农村“三宝”，路边常见却少有人懂，殊不知是珍贵中草药

鲫鱼|钓鲫鱼的钩号应该用几号钩？选对了，轻松钓大鲫！

『王者荣耀』王者荣耀：伽罗已经被削弱，可ban率高达60%，玩家到底怕她什么？

柏哥笔记■关于私域流量和其变现的杂记

退场|《锦衣之下》之现代版77：一桌素斋宴，吃得陆绎心花怒放

问董秘|您好，请问8月13日的股东集中竞价减持计划公告是否...，投资者提问：尊敬的董秘

印度一架客机降落时冲出跑道至少16人死亡

弹簧床垫弹簧床垫有什么优缺点弹簧床垫有什么选购技巧

【历史每日揭秘】增加信心？Arai推出cbr1000rr-r彩色头盔

如何抽脂(抽脂方法)

窨花茶怎么做窨花茶家庭制作方法分享

IT之家|iOS 7.0.15 小程序不支持浮窗显示，公众号文章依旧支持，微信

环球网|无锡融创乐园道歉了

「梵古」三四十岁的女人穿什么衣服注意什么？

萩龙观世界TB|贝尔或库鸟不会拒绝机会，纽卡旧部：贝尼特斯已为俱乐部制定规划

Lightroom如何导入预设

芍药花茶的功效与作用及禁忌,金银花茶的功效作用

抖音左下角游戏链接怎么弄，抖音左下角没有链接怎么办

大学|北大“最孤独”的3个专业，多名教授围着1人转，逃课根本不存在