事件背景与时间线
2017年谷歌调查发现赛门铁克未经授权错误签发大量SSL证书,包括对未经验证域名的签发行为。这直接导致Google决定分阶段移除对赛门铁克证书的信任,具体分为三个阶段实施:
- 2017年12月:赛门铁克转为子证书颁发机构(Sub CA)
- 2018年4月(Chrome 66):不信任2016年6月前签发的证书
- 2018年10月(Chrome 70):完全停止信任所有赛门铁克系证书
技术原因解析
核心矛盾源于赛门铁克旧版PKI认证系统的安全隐患。其SSL证书签发流程存在以下问题:
- 证书颁发机构(CA)密钥管理不规范
- 域名验证流程存在漏洞
- 未遵循行业标准的证书透明度(CT)政策
谷歌要求赛门铁克升级PKI系统以符合CA/Browser Forum标准,但旧系统签发的证书无法通过新验证机制。
受影响证书类型
具体受影响的证书包括:
- 2016年6月前签发的所有赛门铁克证书
- GeoTrust、Thawte、RapidSSL等子品牌证书
- 使用SHA-1算法的遗留证书
解决方案与应对措施
根据证书签发时间和使用场景,建议采取以下措施:
- 2017年12月后签发的DigiCert平台证书无需处理
- 2018年9月前过期的证书可继续使用至到期
- 长期证书需通过CSR重新生成密钥对进行替换
- 开发测试环境可添加
--ignore-certificate-errors参数临时绕过
此次事件反映了浏览器厂商对SSL证书监管的加强趋势。建议企业及时检查证书链信息,优先选用通过CRLset验证的证书颁发机构,并建立证书生命周期管理系统以避免服务中断风险。
