Chrome 将证书颁发机构 Entrust 移出信任列表

Chrome 将证书颁发机构 Entrust 移出信任列表 谷歌通过博客公告，从 2024 年 11 月 1 日发布的 Chrome 127 版本开始，默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。谷歌称，过去几年中，公开披露的事件报告突显了 Entrust 的一系列令人担忧的行为，这些行为未能达到上述期望，并且削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和诚信的信心。此前，Mozilla 在 5 月份发布了一份报告，其中汇总了今年 3 月至 5 月期间 Entrust 证书。 以上变化将在除苹果公司移动端以外的所有 Chrome 和 Chromium 发行版上生效，2024 年 11 月 1 日之后签发的 Entrust 证书将被视为无效，并被浏览器默认阻止连接到对应的服务器。

Google Chrome 不再信任 Entrust 签发的证书

Google Chrome 不再信任 Entrust 签发的证书 在 Mozilla 公布 Entrust CA 过去几个月的一系列证书问题之后，Google 决定终止对其的信任。从 11 月 1 日起，Chrome 默认将不再信任 Entrust 或 AffirmTrust roots 验证的证书。这一变化适用于签名证书时间戳日期在 2024 年 10 月 31 日之后的证书，该日期前签发的证书仍然有效，能正常工作。Google 称， Entrust 的一系列事件削弱了对 Entrust] 作为信任 CA 所有者的能力、可靠性和诚信的信心。Entrus 对 Google 的这一决定表示了失望。 via Solidot

Cloudflare弃用DigiCert作为所有SSL证书的证书颁发机构

Cloudflare弃用DigiCert作为所有SSL证书的证书颁发机构 从 2023 年下半年开始，Cloudflare 将开始弃用 DigiCert 作为所有 SSL 证书产品(、、)的证书颁发机构。 这一变化不会影响 Cloudflare 目前正在使用的 DigiCert 颁发的现有证书，但会影响新的证书订单和续订。 在 DigiCert 停用后，证书将开始使用 Let's Encrypt 或 Google Trust Services 作为颁发 CA。如果你有 CA 偏好，建议在停用日期之前采取行动，以指定首选 CA 。 、

Microsoft 撤销 Verisign 3 级公共主要证书颁发机构 – G5 根证书

Microsoft 撤销 Verisign 3 级公共主要证书颁发机构 – G5 根证书 依据 Airlock Digital 报道显示该问题是由 Windows根据 Microsoft 的“弃用定义”应用了“”标志，同时这也解释了该吊销为什么这没有显示在任何公开可用的列表中。同时根据 DigiCert 给 Airlock Digital 的支持回应显示该问题是由于这些旧根证书应该在 2019 年至 2021 年间就该被不信任，对于 VeriSign 3 级公共主要证书颁发机构 – G5 本应在 2019 年 5 月 21 日受到 Microsoft 的不信任。 也就是说该问题是 Microsoft Windows 未及时刷新旧证书状态导致，加上也未对此做出任何公告才导致开发者一头雾水，同时 DigiCert 也对证书签发管理过于混乱，这大概率也是和赛门铁克交业务接时留下的问题。 参考来源:

中国证书颁发机构签发的两个根证书预计将被批准加入 Mozilla 根证书库

中国证书颁发机构签发的两个根证书预计将被批准加入 Mozilla 根证书库 BJCA (Beijing Certificate Authority Co., Ltd. - 北京数字认证股份有限公司) 的两个根证书已通过 Mozilla 的核查和公共讨论期。如果在 last-call 期间没有异议，两个根证书将于 2/21 被批准加入 Mozilla 根证书库，成为继 CFCA、GDCA、SHCA、iTrusChina（天威诚信）后第五个 Mozilla 证书库中的大陆 CA 。在此之前，它们目前只被 360 根证书库信任。相关的两个 CA 如下： - BJCA Global Root CA1 - BJCA Global Root CA2 Mozilla 审议期间，有审核者提到 BJCA 的「一证通」 (Beijing One Pass) 软件被 Recorded Future 的分析指出作出间谍软件行为（例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等）。BJCA 回应称此软件需要安装其根证书以支持其 USB 密钥（U 盾），并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控，称这些行为涉及的程序并非「一证通」软件的一部分。 在之后邮件列表的讨论中，BJCA 还提到： - BJCA 有两套分离的系统分别用来处理公共证书事务及国内证书签发事项，两套系统分别符合国际标准和国内标准。 - 在收到 Recorded Future 的分析报告后，BJCA 根据网信办的条例对软件进行了评估，并提交了评估报告。由于此报告涉及机密内容，且报告所涉的 CA 证书和此次向 Mozilla 申请加入证书库的证书无关，BJCA 无法公开此报告的全文。 /

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书 谷歌宣布自 11 月 1 日发布的 Chrome 127 版本开始，不再信任来自 Entrust（或 AffirmTrust）的新 TLS 服务器验证证书，IT之家从报道中获悉，终端用户后续访问使用 Entrust 证书的网站，会看到“ERR_CERT_AUTHORITY_INVALID”警告。