Chrome 将证书颁发机构 Entrust 移出信任列表

Chrome将证书颁发机构Entrust移出信任列表谷歌通过博客公告，从2024年11月1日发布的Chrome127版本开始，默认情况下不会信任验证Entrust或AffirmTrustroots发布的TLS服务器验证证书。谷歌称，过去几年中，公开披露的事件报告突显了Entrust的一系列令人担忧的行为，这些行为未能达到上述期望，并且削弱了人们对其作为公众信任的CA所有者的能力、可靠性和诚信的信心。此前，Mozilla在5月份发布了一份报告，其中汇总了今年3月至5月期间Entrust证书。以上变化将在除苹果公司移动端以外的所有Chrome和Chromium发行版上生效，2024年11月1日之后签发的Entrust证书将被视为无效，并被浏览器默认阻止连接到对应的服务器。——

赛门铁克再次成为争议的焦点。该公司向加州公司Blue Coat签发了一个中级证书，而Blue Coat颇受争议，它被发现向专制国

赛门铁克再次成为争议的焦点。该公司向加州公司BlueCoat签发了一个中级证书，而BlueCoat颇受争议，它被发现向专制国家提供审查设备，它的审查设备的一项功能是发动中间人攻击拦截SSL加密流量。中级证书将允许BlueCoat签发任意的中间人证书，而这些证书将会被用户的浏览器信任，因为浏览器默认信任赛门铁克的CA。赛门铁克的ThawteCA曾被Google发现在Google及其它公司不知情下签发了这些公司域名的预签证书和测试证书，如果它的中级证书再被发现滥用，它很有可能会面临从信任CA中除名。CNNIC就是因为中级证书被滥用而不再被浏览器开发商信任。https://blog.filippo.io/untrusting-an-intermediate-ca-on-os-x/

Let's Encrypt 宣布今年已签发 30 亿份域名证书

Let'sEncrypt宣布今年已签发30亿份域名证书负责运营Let'sEncrypt的非营利组织互联网安全研究集团（ISRG）表示，这家开放的证书授权机构（CA）今年已经累计签发了30亿份证书。Let'sEncrypt于2015年9月开始提供免费域名证书签发服务，签发的首个网站是helloworld.letsencrypt.org，在过去几年时间里一直为网站免费提供启用HTTPS（SSL/TLS）和加密通信所需的X.509数字证书。Let'sEncrypt自2018年8月开始，已经被所有主要的浏览器和操作系统以及所有主要的根证书程序（包括来自微软、谷歌、苹果、Mozilla、Oracle和黑莓的证书）直接信任。这个免费和自动化的CA允许任何域名所有者以零成本获得可信的证书。现在，该CA说它每天签发数百万份。来自：雷锋频道：@kejiqu群组：@kejiquchat投稿：@kejiqubot

11 月开始，谷歌 Chrome 浏览器默认不再信任 Entrust 证书

11月开始，谷歌Chrome浏览器默认不再信任Entrust证书https://www.ithome.com/0/778/498.htm谷歌宣布自11月1日发布的Chrome127版本开始，不再信任来自Entrust（或AffirmTrust）的新TLS服务器验证证书，IT之家从报道中获悉，终端用户后续访问使用Entrust证书的网站，会看到“ERR_CERT_AUTHORITY_INVALID”警告。

中国证书颁发机构签发的两个根证书预计将被批准加入 Mozilla 根证书库

中国证书颁发机构签发的两个根证书预计将被批准加入Mozilla根证书库BJCA(BeijingCertificateAuthorityCo.,Ltd.-北京数字认证股份有限公司)的两个根证书已通过Mozilla的核查和公共讨论期。如果在last-call期间没有异议，两个根证书将于2/21被批准加入Mozilla根证书库，成为继CFCA、GDCA、SHCA、iTrusChina（天威诚信）后第五个Mozilla证书库中的大陆CA。在此之前，它们目前只被360根证书库信任。相关的两个CA如下：-BJCAGlobalRootCA1-BJCAGlobalRootCA2Mozilla审议期间，有审核者提到BJCA的「一证通」(BeijingOnePass)软件被RecordedFuture的分析指出作出间谍软件行为（例如在系统上安装根证书、禁用安全和备份相关服务、录制屏幕截图等）。BJCA回应称此软件需要安装其根证书以支持其USB密钥（U盾），并且否认了分析报告对其禁用安全和备份相关服务/录制屏幕截图/阅读剪贴板及按键输入的指控，称这些行为涉及的程序并非「一证通」软件的一部分。在之后邮件列表的讨论中，BJCA还提到：-BJCA有两套分离的系统分别用来处理公共证书事务及国内证书签发事项，两套系统分别符合国际标准和国内标准。-在收到RecordedFuture的分析报告后，BJCA根据网信办的条例对软件进行了评估，并提交了评估报告。由于此报告涉及机密内容，且报告所涉的CA证书和此次向Mozilla申请加入证书库的证书无关，BJCA无法公开此报告的全文。——/

传言欧盟正在拟定中的eIDAS法规，其中第45条款将强制浏览器制造商信任欧盟各国政府签发的CA证书，此举可能为政府打开监视htt

传言欧盟正在拟定中的eIDAS法规，其中第45条款将强制浏览器制造商信任欧盟各国政府签发的CA证书，此举可能为政府打开监视https流量的方便之门。目前电子前沿基金会,mozilla,cloudfare,Linuxfoundation等机构已经联名抗议src：https://www.eff.org/deeplinks/2023/11/article-45-will-roll-back-web-security-12-years投稿：@ZaiHuaBot频道：@TestFlightCN