普通互联网用户可能没有意识到,为了保护数字世界的安全,需要在幕后做多少工作。但是,由证书颁发机构(ca)颁发的数字证书使可信的网站、电子邮件、服务器和软件可信。证书颁发机构/浏览器(CA/B)论坛和其他标准设置组织认为这些CA值得信赖。
有时,由于人为错误或代码中的错误,颁发的证书不能满足根存储操作符的严格遵从性要求。当出现这种情况时,CA应该如实报告相关情况,撤销证书,并帮助社区从中吸取教训。
但正如我们在Google Chrome不信任委托事件中看到的那样,未能及时减轻损害可能会对CA及其客户产生严重后果。
为什么谷歌不信任委托?
2024年6月,谷歌的Chrome安全团队宣布,在2024年10月31日之后,它将不再信任委托颁发的TLS证书。几个月前,委托公司承认错误颁发了26000多个EV TLS证书。
CA/B论坛的基线要求规定,错误颁发的证书的撤销期非常短,根据问题的性质,可能是24小时,也可能是5天。CA通常可以在对企业影响最小的情况下解决问题,但委托没有采取任何行动来撤销或替换受影响的证书。
不作为对企业的影响可能是服务中断、CA状态不确定以及客户信任的丧失。对于像委托这样无法撤销和替换错误颁发的证书的CA,这可能意味着web浏览器将停止信任CA,就像谷歌在2024年所做的那样。
评论已关闭