Google Chrome 将在 2024-10-31 后停止信任 Entrust 和 AffirmTrust 签发的 TLS 证书

从 Chrome 127 开始，企业可以通过在 Chrome 运行的平台上安装相应的根 CA 证书作为[本地信任的根]（例如，安装在 Microsoft 证书存储区中作为受信任的根 CA）来覆盖 Chrome 根存储区限制，就像本博文中针对 Entrust 描述的限制一样。

Google Chrome 将在 2024-10-31 后停止信任 Entrust 和 AffirmTrust 签发的 TLS 证书。 此项更新将在 Chrome 127 及更高版本中生效。

预设情况下，通过以下 Entrust 根证书（其最早的签发证书时间戳记(SCT)日期在 2024-10-31 之后）来进行验证的 TLS 伺服器证书将不受信任。

• CN=Entrust Root Certification Authority – EC1,OU=See www.entrust.net/legal-terms+OU=(c) 2012 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
• CN=Entrust Root Certification Authority – G2,OU=See www.entrust.net/legal-terms+OU=(c) 2009 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
• CN=Entrust.net Certification Authority (2048),OU=www.entrust.net/CPS_2048 incorp. by ref. (limits liab.)+OU=(c) 1999 Entrust.net Limited,O=Entrust.net
• CN=Entrust Root Certification Authority,OU=www.entrust.net/CPS is incorporated by reference+OU=(c) 2006 Entrust, Inc.,O=Entrust, Inc.,C=US
• CN=Entrust Root Certification Authority – G4,OU=See www.entrust.net/legal-terms+OU=(c) 2015 Entrust, Inc. – for authorized use only,O=Entrust, Inc.,C=US
• CN=AffirmTrust Commercial,O=AffirmTrust,C=US
• CN=AffirmTrust Networking,O=AffirmTrust,C=US
• CN=AffirmTrust Premium,O=AffirmTrust,C=US
• CN=AffirmTrust Premium ECC,O=AffirmTrust,C=US

建议网站管理员尽快转用其他受信任的证书颁发机构，例如 Sectigo、DigiCert、GeoTrust、Thawte、RapidSSL、GlobalSign。 。 更多详情可以参看 Google 的文章：https://security.googleblog.com/2024/06/sustaining-digital-certificate-security.html

部分译文：

Chrome 为什么要采取行动？

认证机构 (CA) 在互联网上扮演着享有特权和值得信赖的角色，为浏览器和网站之间的加密连接提供支持。这一重大责任要求其遵守合理且共识驱动的安全性和合规性要求，包括 CA/浏览器 TLS 基准要求中定义的要求。

在过去六年中，我们观察到合规性失败、未兑现改进承诺以及在响应公开披露的事件报告方面缺乏切实可衡量的进展。当综合考虑这些因素并考虑到每个受公众信任的 CA 对互联网生态系统造成的固有风险时，我们认为 Chrome 不再有理由继续信任 Entrust。

此行动何时会发生？

阻止行动将于大约 2024 年 11 月 1 日开始，影响当时或之后颁发的证书。

阻止操作将在Windows、macOS、ChromeOS、Android 和 Linux 上的[Chrome 127及更高版本中发生。Apple 政策禁止在 Chrome for iOS 上使用 Chrome 证书验证程序和相应的 Chrome 根存储区。

此操作对用户有何影响？

默认情况下，上述人群中的 Chrome 用户在 2024 年 10 月 31 日之后访问提供由 Entrust 或 AffirmTrust 颁发的证书的网站时，将看到[类似于此的]整页插页广告。

其他 CA 颁发的证书不受此操作的影响。

网站运营商如何判断其网站是否受到影响？

网站运营商可以使用 Chrome 证书查看器来确定他们是否受到此问题的影响。

使用 Chrome 证书查看器

• 导航到网站（例如[https://www.google.com]
• 点击“调整”图标
• 点击“连接安全”
• 点击“证书有效”（Chrome 证书查看器将打开）
  • 如果“颁发者”标题下列出的“组织 (O)”字段不包含“Entrust”或“AffirmTrust”，则 无需网站所有者 采取行动。
  • 如果“颁发者”标题下列出的“组织 (O)”字段包含“Entrust”或“AffirmTrust”，则 需要网站所有者采取行动。

受影响的网站运营商该怎么办？

我们建议受影响的网站运营商尽快过渡到新的公众信任的 CA 所有者。为避免对网站用户产生不利影响，如果计划在2024 年 10 月 31 日 之后到期，则必须在现有证书到期之前完成操作。

虽然网站运营商可以选择在 2024 年 11 月 1 日 Chrome 的阻止操作开始之前收集并安装从 Entrust 颁发的新 TLS 证书来延迟阻止操作的影响，但网站运营商不可避免地需要从 Chrome 根商店中包含的许多其他 CA 之一收集并安装新的 TLS[证书]

我可以在这些更改生效之前对其进行测试吗？

是的。

从 Chrome 128 开始添加了一个命令行标志（在本文发布时可在 Canary/Dev 中使用），允许管理员和高级用户模拟 SCTNotAfter 不信任约束的效果，如本博文常见问题解答中所述。

如何：模拟 SCTNotAfter 不信任

1. 关闭所有打开的 Chrome 版本
2. 使用以下命令行标志启动 Chrome，用实际值替换下面描述的变量

--test-crs-constraints=[信任锚证书 SHA256 哈希值的逗号分隔列表]:sctnotafter=[epoch_timestamp]

3. 使用测试网站评估标记的效果

示例： 以下命令将模拟 SCTNotAfter 不信任，其生效日期为 2024 年 4 月 30 日晚上 11:59:59（格林威治标准时间），适用于 Chrome 根存储中包含的所有 Entrust 信任锚。预期行为是，在强制执行日期/时间戳之前颁发证书的任何网站都将在 Chrome 中运行，在此之后颁发的所有网站都将显示插页广告。

--测试-crs约束=02ED0EB28C14DA45165C566791700D6451D7FB56F0B2AB1D3B8EB070E56EDFF5，43DF5774B03E7FEF5FE40D931A7BEDF1BB2E6B42738C4E6D3841103D3AA7F339，6DC47172E01CBCB0BF62580D895FE2B8AC9AD4F873801E0C10B9C837D21EB177， 73C176434F1BC6D5ADF45B0E76E727287C8DE57616C1E6E6141A2B2CBC7D8E4C，DB3517D1F6732A2D5AB97C533EC70779EE3270A62FB4AC4238372460E6F01E88，03 76AB1D54C5F9803CE4B2E201A0EE7EEF7B57B636E8A93C9B8D4860C96F5FA7，0A81EC5A929777F145904AF38D5D509F66B5E2C58FCDB531058B0E17F3F0B41B， 70A73F7F376B60074248904534B11482D5BF0E698ECC498DF52577EBF2E93B9A，BD71FDF6DA97E4CF62D1647ADD2581B07D79ADF8397EB4ECBA9C5E8488821423：sctnot之后=1714521599

说明性命令（在 Windows 上）：

“C:\Users\User123\AppData\Local\Google\Chrome SxS\Application\chrome.exe” --test-crs-constraints=02ED0EB28C14DA45165C566791700D6451D7FB56F0B2AB1D3B8EB070E56EDFF5,43DF5774B03E7FEF5FE40D931A7BEDF1BB2E6B42738C4E6D3841103D3AA7F339,6DC4 7172E01CBCB0BF62580D895FE2B8AC9AD4F873801E0C10B9C837D21EB177,73C176434F1BC6D5ADF45B0E76E727287C8DE57616C1E6E6141A2B2CBC7D8E4C,DB3517D1F 6732A2D5AB97C533EC70779 EE3270A62FB4AC4238372460E6F01E88,0376AB1D54C5F9803CE4B2E201A0EE7EEF7B57B636E8A93C9B8D4860C96F5FA7,0A81EC5A929777F145904AF38D5D509F6 6B5E2C58FCDB531058B0E17F3F 0B41B,70A73F7F376B60074248904534B11482D5BF0E698ECC498DF52577EBF2E93B9A,BD71FDF6DA97E4CF62D1647ADD2581B07D79ADF8397EB4ECBA9C5E848882142 3:sctnotafter=1714521599

说明性命令（在 macOS 上）：

“/应用程序/Google Chrome Canary.app/Contents/MacOS/Google Chrome Canary”--test-crs-constraints=02ED0EB28C14DA45165C566791700D6451D7FB56F0B2AB1D3B8EB070E56EDFF5,43DF5774B03E7FEF5FE40D931A7BEDF1BB2E6B42738C4E6D3841103D3AA7F339,6DC4 7172E01CBCB0BF62580D895FE2B8AC9AD4F873801E0C10B9C837D21EB177,73C176434F1BC6D5ADF45B0E76E727287C8DE57616C1E6E6141A2B2CBC7D8E4C,DB3517D1F 6732A2D5AB97C533EC70779 EE3270A62FB4AC4238372460E6F01E88,0376AB1D54C5F9803CE4B2E201A0EE7EEF7B57B636E8A93C9B8D4860C96F5FA7,0A81EC5A929777F145904AF38D5D509F6 6B5E2C58FCDB531058B0E17F3F 0B41B,70A73F7F376B60074248904534B11482D5BF0E698ECC498DF52577EBF2E93B9A,BD71FDF6DA97E4CF62D1647ADD2581B07D79ADF8397EB4ECBA9C5E848882142 3:sctnotafter=1714521599

**注意：**如果复制并粘贴上述命令，请确保没有引入换行符。

[在这里]了解有关命令行标志的更多信息。

我将 Entrust 证书用于我的内部企业网络，我需要做什么吗？

从 Chrome 127 开始，企业可以通过在 Chrome 运行的平台上安装相应的根 CA 证书作为[本地信任的根]（例如，安装在 Microsoft 证书存储区中作为受信任的根 CA）来覆盖 Chrome 根存储区限制，就像本博文中针对 Entrust 描述的限制一样。

企业如何将 CA 添加为本地信任的 CA？

客户组织应遵循平台提供商的指导。

那么其他 Google 产品怎么样？

其他 Google 产品团队更新可能会在未来推出。