因此,谷歌将开始不信任赛门铁克公司在 Chrome、Android 和谷歌产品中运营的“第 3 类公共主 CA”根证书,因为它不再遵守CA/浏览器论坛的基线要求。
但是,博客文章说
赛门铁克表示,他们不相信作为安全网站运营商的客户会受到此次删除的影响。此外,赛门铁克还表示,据他们所知,他们认为尝试访问受赛门铁克证书保护的网站的客户不会受到此影响。
怎么会这样?
更新(在 StackzOfZtuff 的回答之后):
一些网站实际上受到了影响(例如,Netflix)。撤销已暂时恢复
为什么赛门铁克不相信他们的客户会受到谷歌不信任这个根证书的影响?
信息安全
证书颁发机构
2021-09-10 17:34:21
2个回答
从 Symantec 本身,您可以在https://www.symantec.com/page.jsp?id=roots获得以下关于 VeriSign Class 3 Public Primary CA 使用的描述:
此根 CA 是用于 Secure Site Pro 证书、高级 SSL 证书和代码签名证书的根。自 2015 年 12 月 1 日起,赛门铁克已停止使用 VeriSign G1 根来颁发公共 SSL 证书。此根 CA 将用于颁发非公共 SSL 证书。鼓励浏览器/根存储运营商从其根存储中删除/不信任该根。
这向我表明,此 CA 不(或不再?)用于 Internet 上的任何类型的公共证书,因此从浏览器中删除它不会导致任何问题。事实上,他们甚至建议这样做。
2015 年 12 月 18 日更新。
我之前评论过这个:
不知道。也许赛门铁克很久以前就从那个根 CA 迁移走了,所有颁发的证书早就过期了。但他们最好是对的。因为:他们当然有很多子 CA。(请参见此处的图表部分。请参见此处的子 CA 部分。)– StackzOfZtuff 12 月 13 日 11:44
这是一些新的发展:他们已经撤销了撤销:
- Ryan Sleevi, @sleevi_, 2015-12-18
撤销赛门铁克的 CRLSet 已暂时恢复,同时我们与站点和用户合作,以确定客户为什么要为其构建链。