Apple將於7月20日停止信任非CT登錄的SSL/TLS證書

2016年6月1日至2017年12月1日期間簽發的任何Symantec CA SSL證書如果未發布到證書透明度日誌，將不受信任。這僅適用於Symantec CA證書，對於SSL / TLS生態系統的其餘部分，Apple的CT截止日期仍為10月15日。

該公告是蘋果公司賽門鐵克CA不信任計劃的補充

除了瀏覽器中的Web內容之外，該要求不會影響SSL / TLS用例。 受影響的申請將包括：

macOS High Sierra

macOS應用程序

iOS 11

iOS應用

Safari瀏覽器

這不太可能產生重大影響，因為不信任將主要影響已經被谷歌Chrome瀏覽器和Mozilla Firefox處罰的證書。 此外，賽門鐵克此前與谷歌的混戰之後，已經要求記錄它發布的證書了。

儘管如此，網站所有者仍希望仔細檢查他們的Symantec CA SSL證書，以免他們被四大網路瀏覽器之一取消信任。

如何判斷我的SSL證書是否已經過CT記錄？

證書透明度是一個行業的事情，最終用戶無需做任何事情來記錄自己的證書。 CA必須這樣做。 但是，有兩種方法可以檢查並查看是否已記錄您頒發的SSL證書。 第一種方法是檢查瀏覽器中的證書詳細信息。

訪問你的網站

單擊瀏覽器地址欄中的掛鎖圖標

查找可以查看證書或證書詳細信息的位置

查找字元串："1.3.6.1.4.1.11129.2.4.2"

如果找到它，則表示您的證書已被記錄。 所有CT記錄的證書的OID都相同。 現在，瀏覽器以不同的方式顯示此信息。 例如，Safari將其顯示為：

Firefox將其稱為對象標識符。

Google會讓您瀏覽其菜單，從「更多工具」部分選擇開發人員工具，然後導航到安全性，您可以通過單擊「主要來源」查看證書詳細信息。

如果您正在使用Microsoft Edge，或者只是不想在瀏覽器中點擊，還有另一種方法可以檢查。 您還可以使用Symantec的CryptoReport：

轉到Symantec CryptoReport。

輸入您的網址。

檢查：「Certificate Transparency: Embedded in certificate」（證書透明度：嵌入證書）

如果該行存在，則說明已錄入CT！

如果不是，並且您使用的是2016年6月1日至2017年12月1日期間頒發的Symantec CA品牌SSL證書，則需要立即重新頒發或更換您的SSL證書。 您的替代品將來自DigiCert，後者現已收購賽門鐵克CA，並在過去9個月中一直在努力更換數百萬受影響的證書。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！