V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nyanyh
V2EX  ›  程序员

Chrome 70 开始不信任 Symantec 证书了,又要有一大批网站更换证书吧

  •  
  •   nyanyh · 2018-07-26 22:46:26 +08:00 · 11890 次点击
    这是一个创建于 2312 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Version 70.0.3503.0 (Official Build) canary (64-bit)
    访问 v2ex.com 已经弹出 NET::ERR_CERT_SYMANTEC_LEGACY 错误了,B 站使用的一个 acgvideo.com 也一样的证书错误

    https://security.googleblog.com/2018/03/distrust-of-symantec-pki-immediate.html
    中文版: https://googledeveloperschina.blogspot.com/2017/09/chrome-symantec.html
    看了下 Google 的博客,还包括 Thawte, VeriSign, Equifax, GeoTrust 和 RapidSSL

    Chrome 70 大约将在 2018 年 10 月 23 日所在的那一周发布,此版本将完全移除对 Symantec 旧基础架构及其已经发放的所有证书的信任。这将影响来自 Symantec 根证书的所有证书,但之前已经向 Google 披露的独立运营和审计的附属证书授权机构发放的少量证书不受影响。
    需要从 Symantec 现有根证书和中间证书获取证书的网站运营者在 2017 年 12 月 1 日前仍可以从旧基础架构获取,但是,需要在 Chrome 70 之前重新替换这些证书。此外,从 Symantec 基础架构发放的证书的有效期将限制为 13 个月。网站运营者也可以从 Chrome 当前信任的任何其他证书授权机构获取替代证书,这些证书不受取消信任或有效期限的影响。

    p.s Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误


    21 条回复    2018-11-03 08:19:05 +08:00
    bclerdx
        1
    bclerdx  
       2018-07-26 22:56:01 +08:00
    Chrome 的证书错误页面,可以输入 badidea 或者 thisisunsafe 忽略错误,这个怎么操作,请示范一下。
    nyanyh
        2
    nyanyh  
    OP
       2018-07-26 22:59:06 +08:00   ❤️ 7
    @bclerdx 就是在 Chrome 的错误页面,点页面空白处一下让键盘焦点处于页面内,然后依次按下 thisisunsafe,页面就会自动刷新了
    sneezry
        3
    sneezry  
       2018-07-26 22:59:49 +08:00
    @bclerdx 就依次按下那几个键就行,不需要找什么输入框
    bclerdx
        4
    bclerdx  
       2018-07-26 23:21:53 +08:00
    @nyanyh
    @sneezry
    嗯,谢谢两位啦!
    yohanechan
        5
    yohanechan  
       2018-07-26 23:27:33 +08:00
    很多原来使用 Symentec 证书的网站换成了 DigiCert 证书,包括但不限于 Alipay、WeChat、CNNIC、知乎 和 学信网。Symentec 旗下品牌证书也在逐步使用 DigiCert 根证书,高端市场只剩 GlobalSign 和 DigiCert 两家独大。
    redsonic
        6
    redsonic  
       2018-07-26 23:36:53 +08:00
    唉,好吧我又要把 mozilla-nss 里的一堆证书拉黑了。
    bclerdx
        7
    bclerdx  
       2018-07-26 23:50:20 +08:00
    @redsonic 拉黑干嘛?
    wdlth
        8
    wdlth  
       2018-07-27 00:05:55 +08:00
    可惜 Google 还用着赛门铁克的代码签名证书……
    honeycomb
        9
    honeycomb  
       2018-07-27 00:09:04 +08:00 via Android
    @nyanyh 谢谢 workaround
    wdlth
        10
    wdlth  
       2018-07-27 00:24:11 +08:00
    财付通没有换,看来已经不行了……
    lhx2008
        11
    lhx2008  
       2018-07-27 00:25:57 +08:00 via Android
    所以还有一年的免费证书可以申请吗
    cpdyj
        12
    cpdyj  
       2018-07-27 01:07:21 +08:00 via Android
    不知道对 let's encrypt 有没有影响
    580a388da131
        13
    580a388da131  
       2018-07-27 01:26:30 +08:00 via iPhone
    换 Google 自己的,一步到位。😒
    nciyuan
        14
    nciyuan  
       2018-07-27 01:56:34 +08:00 via Android
    @cpdyj Let's Encrypt Single 和 Let's Encrypt Wildcard 都是由直接根信任的 DST X3 签出来的 LE X1-4,虽然沃通和 StartCom 被 360 搞死了,赛门铁克被自己和谷歌搞死了,但是别忘了沃通最开始的证书是怎么提权信任的,就是靠 StartCom 的和 Comodo 的交叉信任提升为 Root CA,而大家也看到了 Comodo 的力量,这家公司真的是哲学般的牛逼。
    @580a388da131 谷歌的小 CA 证书是由 GlobalSign R2 直接信任根证书签发的。
    maogang39
        15
    maogang39  
       2018-07-27 08:19:31 +08:00 via Android
    苏宁的证书还是沃通的
    helllkz
        16
    helllkz  
       2018-07-27 10:58:03 +08:00
    @cpdyj
    Let's encrypt 都有 chrome 赞助的,那肯定是信任的
    redsonic
        17
    redsonic  
       2018-07-27 13:55:56 +08:00
    @bclerdx 因为其他应用又不跟随 chrome,要想同样不信任这些证书只能拉黑 mozilla-nss 里面的证书。
    Love4Taylor
        18
    Love4Taylor  
       2018-08-04 14:43:47 +08:00
    刚更新了 70.0.3510.0 (Official Build) dev (64-bit)
    不过 v2 和 b 站都没报错, 奇怪...
    7emes
        19
    7emes  
       2018-08-07 03:32:28 +08:00
    @Love4Taylor 国外的 ip 访问的话没问题。
    nnnnnelson
        20
    nnnnnelson  
       2018-09-29 16:36:16 +08:00
    @作者 @nyanyh @sneezry 谢谢几位了, 整了一个小时都没整好的问题, 原来还有这种高端操作!
    mrluffya
        21
    mrluffya  
       2018-11-03 08:19:05 +08:00
    可以增加一条参数启动 chrome...
    argv -> `--ignore-certificate-errors`
    e.g. "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --ignore-certificate-errors
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   994 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 20:05 · PVG 04:05 · LAX 12:05 · JFK 15:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.