返回
Entrust不受信任的常见问题与解答
在其公布的决定中,Google表示:
"在过去几年中,公开披露的事件报告突显了Entrust不符合上述预期的、令人担忧的行为模式,并削弱了人们对其作为公共可信CA所有者的能力、可靠性和诚信的信心"。
以及
"证书颁发机构(CA)在互联网上承担兼具特权和信任的职责,支撑浏览器与网站之间的加密连接。由于其承担这一重大职责,人们期望CA遵守合理的、由共识驱动的安全与合规规定,包括CA/浏览器 TLS基线要求所定义的规定。
在过去六年中,我们注意到了未能保持合规、未兑现改进承诺,以及在应对公开披露的事件报告方面缺乏切实、可衡量的进展等情况。综合考虑这些因素,并考虑到每个公共可信CA对互联网生态系统所构成的固有风险,我们认为Chrome继续信任Entrust不再合理"。
自11月11日的Google Chrome稳定版本开始(所有Chrome用户最终都将安装此版本),Chrome将不信任从Entrust根颁发的、签名证书时间戳(SCT)日期在2024年11月11日之后的公共TLS证书。
SCT日期在2024年11月11日及之前的任何Entrust TLS证书在其有效期内仍然有效。然而,如果您修改此类证书、更新证书密钥或续订此类证书,它将不再受到信任。
Apple在2024年发布了一份支持文档,列出了自指定日期起,某些证书颁发机构和根新颁发的证书将不受信任。自2024年11月15日起,许多Entrust根证书将不再受到信任。用于TLS、S/MIME、时间戳和电子邮件标识品牌指示器(BIMI)的证书会受到影响。
请注意,受影响的证书仍被列在Apple的受信任根列表之中,原因是2024年11月15日之前使用它们所颁发的证书仍然受到信任。Apple应用了单独的逻辑,仅不信任在指定日期之后颁发的证书。
Apple没有具体说明受影响的产品,但所有Apple的产品都必须使用其根存储,因此可以合理地认为所有PKI客户端都受到影响,包括Safari、Apple Mail以及在iOS或iPadOS上运行的任何应用程序。
Mozilla公布,自2024年12月1日起,其将不再信任新颁发的Entrust根证书。SCT日期在2024年11月30日及之前的任何Entrust TLS证书在其有效期内仍然有效。然而,如果您在12月1日或其后修改此类证书、更新证书密钥或续订此类证书,它将不再受到Firefox的信任。
Microsoft尚未就此事项发布任何声明。
我们建议客户尽快开始规划其替换策略,并准确清点其证书。由于这些证书不受信任,您可能已经遇到了中断的情况。这项工作涉及了解每个证书的到期时间,评估相关服务的风险状况,以及规划替换流程。请立即与我们联系以启动您的迁移规划。
有多种工具可以连接到您的基础设施,以扫描并发现环境中的证书。如果您是Entrust客户,请在您的Entrust控制台中查找工具以获得帮助。
DigiCert客户可以使用DigiCert® Trust Lifecycle Manager(TLM)和DigiCert CertCentral®来评估其环境并识别需要替换的所有Entrust证书。如果您需要扫描和发现方面的帮助,请与我们联系。
只要您积极应对,就能简单、快速地获取新证书。我们需要验证您的域名,这需要几秒的时间,然后验证您的组织,这可以在几分钟内完成。在大多数情况下,获取新证书的整个流程可以快速完成。
组织验证(OV)的有效期为两年。一旦DigiCert完成您的组织验证,您就只需要进行域名验证(DV),这意味着后续的证书请求可以更快地进行。
不可以,DigiCert必须要完成自己的验证流程,然后才能替换您的Entrust组织验证证书或扩展验证(EV)证书。
是的,对于域名验证证书,我们只验证域名,这需要几秒的时间。它只要求您进行简单、快速的操作。
有三个原则让DigiCert和我们的证书颁发机构(CA)业务成为领先的数字信任提供商。
首先,我们努力遵循明确的流程,并使用PKILint等专门开发的工具来降低风险。
其次,我们与CA/浏览器论坛密切合作,快速透明地应对问题;当问题出现时,我们迅速解决问题。
最后,我们是标准制定机构的积极参与者,确保我们不仅遵守标准,而且为优化标准助力以造福行业。
我们认为,在这一事件中从未有过DigiCert不受信任的风险,因为我们一了解到错误就报告了这个问题,并且我们与客户和主要浏览器供应商合作,确保按照规定的时间表替换受影响的证书。
Google在其不信任Entrust的公告中表示:“在出现问题时,我们希望CA所有者承诺进行有意义的、可证明的变革,从而实现有证据支撑的持续改进。” DigiCert尽全力尽快完成这些变革,我们与Chrome集团和其他浏览器供应商密切合作,共同纠正错误,尽量减少对客户的干扰。
CA/B论坛不会做出信任/不信任CA的决定。这些决定是由使用证书的应用程序供应商做出的,其中绝大多数是大型浏览器供应商(尤其是Google Chrome)。
讨论这些问题的Bugzilla论坛(位于CA Program)是开放且公开的。要警惕论坛中的个人意见,因为个人意见不一致,参与者之间往往需要时间才能达成共识。
只有链接到Entrust根证书的TLS证书受到影响,并且只有2024年11月12日或之后颁发的证书受到影响。
Apple的公告主要聚焦于对用于TLS、s/MIME、时间戳和电子邮件标识品牌指示器(BIMI,也称为验证标记)的Entrust根证书的不信任。请查看公告,以获取有关用于这些功能的哪些特定根证书不受信任的列表。
然而,如果您想替换其他Entrust证书产品。在这种情况下,DigiCert也提供解决方案来管理S/MIME、代码签名、文档签名、验证/通用标记证书,以及其他类型的基于PKI的证书安全。
DigiCert Trust Lifecycle Manager可大规模适应企业PKI,并与您现有的架构协同工作。Trust Lifecycle Manager能让您发现由任何TLS/SSL源所颁发的证书,而不仅仅是来自DigiCert或Entrust的证书。我们为公共和专用PKI提供自动化,而且Trust Lifecycle Manager提供了一个安全的劳动力管理平台,因此您可以轻松实施基于角色的访问控制。
DigiCert为受此事件影响的一些客户提供优惠。请与我们联系以了解更多详细信息。
如果您已受到影响, Chrome、Safari和Firefox最新版本的用户将在尝试访问您的网站时出现错误。如果您不清楚自己所拥有的证书或证书由谁颁发,那么您应该对加密资产进行清点。DigiCert可以帮助您创建清单。请在此处联系我们,获取定制的迁移计划或使用我们全新的Entrust Discovery Connector获得帮助。
11月12日之前颁发的Entrust TLS证书没有迫在眉睫的问题。然而,随着这些证书接近到期日期,您将需要使用来自DigiCert等受信任的公共证书颁发机构的TLS证书对其进行替换。
Chrome和Firefox的公告只提到了对Entrust TLS证书的不信任。Apple的公告明确表示不信任用于TLS、s/MIME、时间戳和电子邮件标识品牌指示器(BIMI)的Entrust根证书。请参阅Apple公告以获取用于哪些功能的特定根证书不受信任的列表。
Google和Mozilla根程序的决定适用于从Entrust根颁发的、签名证书时间戳(SCT)日期在2024年11月11日之后的公共TLS证书。该决定目前不影响Entrust颁发的其他公共证书,如代码签名或S/MIME证书。
您应该咨询您的法律顾问。
您需要与一家在不信任事件中帮助客户迁移方面富有经验的供应商合作。常见的第一步是清点所有加密资产。然后,您可以确定需要立即解决的问题,并规划应该进行的任何其他变革与改进。
是的。需要明确的是,自11月12日起,如果您修改现有的Entrust TLS证书、更新证书密钥或续订证书,则生成的(新)证书将不受信任。
DigiCert提供屡获殊荣的实时支持服务、定制和维护,以便在整个证书生命周期中更轻松地进行颁发、管理和缓解。DigiCert以客户支持和与客户合作以满足其所有证书需求而闻名。Let’s Encrypt发挥着重要作用,但其不提供所有证书类型、管理控制台、实时技术支持或证书生命周期管理等复杂的辅助服务。您可以使用CertCentral管理您所有的DigiCert证书,或Trust Lifecycle Manager管理其他证书颁发机构所颁发的证书。
是的,但至少有一个已发布的变通方法。引用Chrome不信任公告:
从Chrome 127开始,企业可以通过在Chrome所运行的平台上安装相应的根CA证书作为本地受信任根的方法(例如作为受信任根CA安装在Microsoft证书存储中)来逾越Chrome根存储的约束,如本博客文章中Entrust部分所述。
Android上的Chrome使用Chrome根存储,因此受到不信任的影响。重要的是,与所有iOS软件一样,iOS上的Chrome必须使用Apple根存储,因此不一定受到影响。但之前Chrome已经屏蔽了代码中的根,并且Google已将不信任日调整到了11月12日,以配合Chrome版本的发布。这可能表明他们将在更新的代码中阻止这些根。
未来,如果Apple不信任Entrust,那将影响所有iOS和MacOS设备。
是的。目前仅限于WebPKI。政府CA是独立的,不会直接受到影响。
是的,DigiCert Trust Lifecycle Manager将从您的Entrust账户中提取清单,并为您提供从DigiCert获取新证书的“便捷按钮”。它还将为众多系统和服务增添自动安装和续订的能力。
