1. 当前信任状态
截至2025年,由赛门铁克及其子品牌(GeoTrust、Thawte、RapidSSL)在2017年12月1日前签发的SSL证书已彻底失去主流浏览器信任。DigiCert于2017年收购赛门铁克CA业务后,新签发的证书采用独立根证书体系,目前被Chrome、Firefox等浏览器完全兼容。
2. 历史背景与事件回顾
赛门铁克证书信任危机始于2017年,因未经授权签发大量证书遭谷歌调查。核心时间线如下:
- 2017年3月:谷歌发现赛门铁克违规签发行为,宣布逐步降低信任
- 2017年12月:赛门铁克转为子CA,开始证书迁移过渡期
- 2018年10月:Chrome 70正式弃用旧证书,影响全球超60%网站
3. 主流浏览器兼容性策略
浏览器对赛门铁克证书采取分阶段淘汰机制:
| 浏览器 | 旧证书截止日期 | 新证书支持 |
|---|---|---|
| Chrome | 2018年10月 | DigiCert根体系 |
| Firefox | 2018年Q4 | 同步谷歌策略 |
| Safari | 2019年初 | 白名单过滤机制 |
4. 解决方案与建议
网站管理员应采取以下措施确保兼容性:
- 检查证书签发日期,2017年12月前证书需立即更换
- 通过DigiCert平台重新申请证书,获得浏览器预置信任
- 启用证书透明度日志(CT)监控
5. 结论与行动指南
赛门铁克品牌证书仍可通过DigiCert体系正常使用,但历史遗留证书已完全失效。建议企业每年执行证书审计,优先选择Let’s Encrypt、DigiCert等全兼容CA机构,避免因证书链变更导致的业务中断风险。
