Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

Google Chrome 不再信任 Entrust 签发的证书

Google Chrome 不再信任 Entrust 签发的证书 在 Mozilla 公布 Entrust CA 过去几个月的一系列证书问题之后，Google 决定终止对其的信任。从 11 月 1 日起，Chrome 默认将不再信任 Entrust 或 AffirmTrust roots 验证的证书。这一变化适用于签名证书时间戳日期在 2024 年 10 月 31 日之后的证书，该日期前签发的证书仍然有效，能正常工作。Google 称， Entrust 的一系列事件削弱了对 Entrust] 作为信任 CA 所有者的能力、可靠性和诚信的信心。Entrus 对 Google 的这一决定表示了失望。 via Solidot

Chrome 将证书颁发机构 Entrust 移出信任列表

Chrome 将证书颁发机构 Entrust 移出信任列表 谷歌通过博客公告，从 2024 年 11 月 1 日发布的 Chrome 127 版本开始，默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。谷歌称，过去几年中，公开披露的事件报告突显了 Entrust 的一系列令人担忧的行为，这些行为未能达到上述期望，并且削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和诚信的信心。此前，Mozilla 在 5 月份发布了一份报告，其中汇总了今年 3 月至 5 月期间 Entrust 证书。 以上变化将在除苹果公司移动端以外的所有 Chrome 和 Chromium 发行版上生效，2024 年 11 月 1 日之后签发的 Entrust 证书将被视为无效，并被浏览器默认阻止连接到对应的服务器。

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书 谷歌宣布自 11 月 1 日发布的 Chrome 127 版本开始，不再信任来自 Entrust（或 AffirmTrust）的新 TLS 服务器验证证书，IT之家从报道中获悉，终端用户后续访问使用 Entrust 证书的网站，会看到“ERR_CERT_AUTHORITY_INVALID”警告。

#疯话 不要信任别人的ca证书

#疯话 不要信任别人的ca证书 不要信任别人的ca证书 不要信任别人的ca证书 近期可能会有机场或者频道会宣传mitm技术(免账号看奈飞之类的) 这种技术相当于将自己的所有数据，包括密码，包括密码，包括密码全盘拖出 本频道在几个月前使用该技术搭建了fanbox合租（免账号看fanbox），该项目已停止，根证书也已经销毁，本人在使用时也并未收集任何信息 也请当时用过的及时清理证书 此技术极度危险，请大家保持头脑清醒，切记不要信任他人提供的ca根证书 如果非常想用此类功能，也不要信任ca根证书，而是要求服务方提供单域名证书 注意网络安全，不要裸奔 本消息仅提醒大家注意安全，并未暗指或隐喻任何组织或个人已经在利用该技术收集信息 转

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let's Encrypt 宣布今年已签发 30 亿份域名证书 负责运营 Let's Encrypt 的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了 30 亿份证书。 Let's Encrypt 于 2015 年 9 月开始提供免费域名证书签发服务，签发的首个网站是 helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用 HTTPS（SSL / TLS）和加密通信所需的 X.509 数字证书。 Let's Encrypt 自 2018 年 8 月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle 和黑莓的证书）直接信任。这个免费和自动化的 CA 允许任何域名所有者以零成本获得可信的证书。现在，该 CA 说它每天签发数百万份。 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot