巴西证书颁发机构ICP-Brasil私自为谷歌域名签发证书

巴西证书颁发机构ICP-Brasil私自为谷歌域名签发证书 巴西的数字证书颁发机构 (CA) ICP-Brasil 似乎悄悄为谷歌搜索主域名签发了数字证书，这违反了 CA 行为守则。谷歌通过自己的中级 CA 为自家所有产品和服务签发域名，同时还在 DNS 记录中明确通过 CAA RR 指定只允许为其签发数字证书。 虽然该行为的目的未知，但可以猜测很有可能是为了劫持相关目的。由于此前的各种违规操作导致 ICP-Brasil 名声较差已被 Mozilla 和 Google 除名，目前仅受微软信任。因此这个证书在 Windows 系统 (也包括 Windows Server 等) 是受信任的。 蓝点网，Bugzilla-电报频道- #娟姐新闻:@juanjienews

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let's Encrypt 宣布今年已签发 30 亿份域名证书 负责运营 Let's Encrypt 的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了 30 亿份证书。 Let's Encrypt 于 2015 年 9 月开始提供免费域名证书签发服务，签发的首个网站是 helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用 HTTPS（SSL / TLS）和加密通信所需的 X.509 数字证书。 Let's Encrypt 自 2018 年 8 月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle 和黑莓的证书）直接信任。这个免费和自动化的 CA 允许任何域名所有者以零成本获得可信的证书。现在，该 CA 说它每天签发数百万份。 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

全球第二大SSL证书厂商宣布停止向俄罗斯和白罗斯有关网站签发证书

全球第二大SSL证书厂商宣布停止向俄罗斯和白罗斯有关网站签发证书 该厂商称： 为了应对乌克兰不断变化的地缘政治局势，即日起，DigiCert、GeoTrust、Sectigo和PositiveSSL等CA将暂停发放和重新发放所有与俄罗斯和白俄罗斯有关的证书类型。这包括暂停向与俄罗斯和白俄罗斯有关的域名TLD（包括.ru、.su、.by、.рф等）以及地址在俄罗斯或白俄罗斯的组织发放和重新发放证书。 GeoCerts及其CA合作伙伴致力于遵守适用法律和行业标准。这一行动是在我们已经采取步骤遵守**制裁和出口管制之后采取的。我们正在密切关注这一情况，并将对发生的变化作出回应。 #失控的制裁

Google宣布Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google宣布Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响

Let's Encrypt旧的根证书即将到期 Android 7.1.1及更早版本的用户将受影响 今天 Cloudflare 发布关于 Let's Encrypt 根证书变更的提示，这个提示其实 Let's Encrypt 早在几年前就说了，去年也陆续说了，这是一个比较麻烦的问题。问题根源：Let's Encrypt 最初使用 IdenTrust 交叉签名的根证书，这个根证书自 2000 年以来就是有效的，因此广泛兼容各类老旧设备，包括 Android 7.1.1 及此前的版本。后来 Let's Encrypt 推出了自己的根证书 ISRG Root X1，这份根证书属于新证书，一些老旧的、停止更新的系统由于缺乏开发商提供的更新，因此是无法信任该证书的。而 IdenTrust 交叉签名证书将在 2024 年 9 月 30 日到期，因此后续开发者也无法再申请签发基于 IdenTrust 的 Let's Encrypt 证书。Cloudflare 也停止签发旧证书：Cloudflare 今天发布的公告说的是从今年 5 月 15 日开始，该平台不再签发基于 IdenTrust 的 Let's Encrypt 证书，也就是后续签发的新证书全部都是 ISRG Root X1 的。这意味着如果网站仍然面向某些老旧系统，那么这些系统将无法访问网站，这可能会对网站产生轻微的流量影响。根据 Let's Encrypt 的统计，目前超过 93.9% 的 Android 设备已经信任 ISRG Root X1，但剩余个位数的老旧 Android 版本也就是 7.1.1 之前的无法信任。如果是大型网站或企业，建议考虑购买其他付费证书来提高兼容性，对于一般性网站那么基本可以考虑放弃支持 Android 7.1.1 及之前的版本了。注：Android 5.0~7.1 用户可以安装Firefox浏览器，Firefox浏览器内置了 ISRG ROOT CA 证书所以可以继续访问。 ... PC版： 手机版：