11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书 谷歌宣布自 11 月 1 日发布的 Chrome 127 版本开始，不再信任来自 Entrust（或 AffirmTrust）的新 TLS 服务器验证证书，IT之家从报道中获悉，终端用户后续访问使用 Entrust 证书的网站，会看到“ERR_CERT_AUTHORITY_INVALID”警告。

Google Chrome 不再信任 Entrust 签发的证书

Google Chrome 不再信任 Entrust 签发的证书 在 Mozilla 公布 Entrust CA 过去几个月的一系列证书问题之后，Google 决定终止对其的信任。从 11 月 1 日起，Chrome 默认将不再信任 Entrust 或 AffirmTrust roots 验证的证书。这一变化适用于签名证书时间戳日期在 2024 年 10 月 31 日之后的证书，该日期前签发的证书仍然有效，能正常工作。Google 称， Entrust 的一系列事件削弱了对 Entrust] 作为信任 CA 所有者的能力、可靠性和诚信的信心。Entrus 对 Google 的这一决定表示了失望。 via Solidot

Google宣布Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google宣布Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题

Google Chrome将从11月起不再信任Entrust CA证书 原因是其出现多次问题 尽管Firefox浏览器什么时候停止信任暂时还没有明确消息，不过本身提议废掉 Entrust 证书就是 Mozilla 长期在讨论的，所以 Firefox 大概率会在类似事件也停止信任 Entrust 证书。需要强调的是对于现有证书无论是 Chrome 还是 Firefox 都将继续提供信任，而 11 月 1 日之后新签发的证书才会被作废，到时候浏览器将默认阻止用户打开此类网页。以 Google Chrome 为例：当网站使用 11 月 1 日及之后由 Entrust 签发的 TLS 证书时，Chrome 加载网页时将提示您的连接不是私密的以及给出错误代码 ERR_CERT_AUTHORITY_INVALID (即证书签发者错误)。这种情况下用户仍然可以点击高级然后继续加载网站，而 Chrome 地址栏也将显示红色感叹号用来标记此网站的 HTTPS 连接存在问题。为什么要停止信任 Entrust：Google在博客中并未直接说明停止信任的详细原因，但强调 Entrust 近年以来出现多次问题，相关链接指向 Mozilla Bugzilla 的讨论专题中。从这个专题中可以看到 Entrust 签发的证书存在各种奇奇怪怪的问题，例如 OCSP 不符合 BR 标准、颁发的证书 ST 字段中带有连字符、无法撤销 OV TLS -CPS 中的错误信息、CPS 更新延迟、仍然使用 SHA-1 签名的 OCSP 响应等。相比以前被停止信任的 ROOT CA 签发错误证书或故意签发错误证书，Entrust 似乎没出现过这类问题，但各种安全基础设施出现的这些问题已经让行业无法信任这个安全机构。通常情况下讨论这些问题时 CA 厂商也会参与，显然 Entrust 至今没有彻底解决这些问题才会让Google和 Mozilla 彻底失望，不如直接停止信任算了。基本等于判了死刑：对 ROOT CA 来说，如果 Chrome 和 Firefox 停止信任，那么这个公司签发的证书基本上就是废纸，毕竟 Chrome、Chromium 阵营以及 Firefox 占据着浏览器市场的绝对主力。后续苹果估计也会在 Safari 中撤销 Entrust 证书，到时候 Entrust 的 TLS 证书业务会彻底瘫痪，要么代码签名证书可能还能用，这个取决于微软是否会撤销 Entrust 的证书。多年前知名安全公司赛门铁克就因为存在一系列证书问题而被主流浏览器停止信任，以此事为开端，之后赛门铁克关闭或出售 CA 业务、自己的安全业务也别多次出售，现在赛门铁克几乎已经变成行业小透明了。 ... PC版： 手机版：

Chrome 将引导欧洲用户自选默认搜索引擎

Chrome 将引导欧洲用户自选默认搜索引擎 据谷歌面向企业和教育用户更新说明，从已于 12 月 6 日发布的 Chrome 120 开始，位于欧盟和欧洲经济区的用户将陆续看到选择默认搜索引擎的提示。 目前版本的选项包括 Bing、DuckDuckGo、Brave Search、Yep 和 Qwant 等。这是谷歌为满足欧洲的《数字市场法案》规定所做合规调整的一部分，也是继微软宣布允许欧洲用户卸载 Edge 浏览器后，美国大型科技公司对欧盟做出让步的另一案例。 谷歌表示，适用群体中的 1% 将在 Chrome 120 中看到这一提示，直到 Chrome 122 全面发布该功能。Chrome Canary 版已提供了一个开关，可以强制打开该界面。 chrome://flags/#enable-search-engine-choice 、