5月起Chrome將對未遵循憑證透明化的網站跳出全版警告

從今年5月1日起 ,若HTTPS網站所使用的SSL憑證未出現在公開的憑證透明化(Certificate Transparency,CT)日誌中,Google Chrome瀏覽器就會秀出全版的警告畫面,但僅適用於5月1日及之後所申請的憑證。

憑證透明化為一實驗性的網路標準,也是個開源框架,目的在於監控及審查數位憑證是否被誤發或遭到濫用,它建立一個公開系統,紀錄所有由可靠憑證機構所頒發的憑證及相關資訊。Google原本預計去年10月就要在Chrome中全面部署憑證透明化政策,只是延宕到現在。

事實上,Google在2013年即成立憑證透明化專案來解決SSL憑證系統的缺陷,以即時偵測被誤發或濫用的憑證,也可用來辨識惡意的憑證機構。從2015年1月開始,Chrome即要求延伸驗證憑證(Extended Validation,EV)必須符合CT政策,而自今年5月1日起,將擴大此一要求至所有的憑證,涵蓋延伸驗證憑證、網域驗證憑證(Domain Validated,DV)與組織驗證憑證(Organization Validated,OV),也在今年2月去信通知所有的憑證發行機構,建議它們公布每日所發行的憑證,否則便會被Chrome攔阻。

因此,即日起若Chrome連結到一個採用SSL憑證,卻不相容於CT政策的網站,使用者就會看到一個全頁的警告畫面。

Google也呼籲憑證發行機構應與客戶共同確保所使用的憑證相容於Chrome的CT政策。該政策目前只適用於新發行的憑證,5月1日以前所發行的憑證並不受影響。

原文來自 iThome Online