上一步
Entrust不受信任的常見問題集
在其公佈的決定中,Google表示:
"在過去幾年中,公開揭露的事件報告突顯了Entrust不符合上述預期的、令人擔憂的行為模式,並削弱了人們對其作為公共信任CA擁有者的能力、可靠性和誠信的信心"。
以及
"憑證授權中心(CA)在網際網路上承擔兼具特權和信任的職責,支撐瀏覽器與網站之間的加密連線。由於其承擔這一重大職責,人們期望CA遵守合理的、由共識驅動的安全與合規規定,包括CA/瀏覽器 TLS基準要求所定義的規定。
在過去六年中,我們注意到了未能保持合規、未兌現改進承諾,以及在應對公開揭露的事件報告方面缺乏切實、可衡量的進展等情況。綜合考慮這些要素,並考慮到每個公共信任CA對網際網路生態系統所構成的固有風險,我們認為Chrome繼續信任Entrust不再合理"。
自11月11日的Google Chrome穩定版本開始(所有Chrome使用者最終都將安裝此版本),Chrome將不信任從Entrust根頒發的、已簽章的憑證時間戳記(SCT)日期在2024年11月11日之後的公共TLS憑證。
SCT日期在2024年11月11日及之前的任何Entrust TLS憑證在其有效期內仍然有效。然而,如果您修改此類憑證、更新憑證金鑰或續訂此類憑證,它將不再受到信任。
Apple在2024年發佈了一份支援文件,列出了自指定日期起,某些憑證授權中心和根新頒發的憑證將不受信任。自2024年11月15日起,許多Entrust根憑證將不再受到信任。用於TLS、S/MIME、時間戳記和電子郵件識別品牌指示器(BIMI)的憑證會受到影響。
請注意,受影響的憑證仍被列在Apple的受信任根清單之中,原因是2024年11月15日之前使用它們所頒發的憑證仍然受到信任。Apple應用了單獨的邏輯,僅不信任在指定日期之後頒發的憑證。
Apple沒有具體說明受影響的產品,但所有Apple的產品都必須使用其根儲存,因此可以合理地認為所有PKI用户端都受到影響,包括Safari、Apple Mail以及在iOS或iPadOS上執行的任何應用程式。
Mozilla宣告,自2024年12月1日起,其將不再信任新頒發的Entrust根憑證。SCT日期在2024年11月30日及之前的任何Entrust TLS憑證在其有效期內仍然有效。然而,如果您在12月1日或其後修改此類憑證、更新憑證金鑰或續訂此類憑證,它將不再受到Firefox的信任。
Microsoft尚未就此事項發佈任何聲明。
我們建議客戶儘快開始規劃其替換原則,並精確清查其憑證。由於這些憑證不受信任,您可能已經遇到了中斷的情況。這項工作涉及瞭解每個憑證的到期時間,評估相關服務的風險狀況,以及規劃替換流程。請立即與我們聯絡以啟動您的移轉規劃。
有多種工具可以連線到您的基礎結構,以掃描並發現環境中的憑證。如果您是Entrust客戶,請在您的Entrust主控台中尋找工具以獲得幫助。
DigiCert客戶可以使用DigiCert® Trust Lifecycle Manager(TLM)和DigiCert CertCentral®來評估其環境並識別需要替換的所有Entrust憑證。如果您需要掃描和發現方面的幫助,請與我們聯絡。
只要您積極應對,就能簡單、快速地獲取新憑證。我們需要驗證您的網域名稱,這需要幾秒的時間,然後驗證您的組織,這可以在幾分鐘內完成。在大多數情況下,獲取新憑證的整個流程可以快速完成。
組織驗證(OV)的有效期為兩年。一旦DigiCert完成您的組織驗證,您就只需要進行網域名稱驗證(DV),這意味著後續的憑證要求可以更快地完成。
不可以,DigiCert必須要完成自己的驗證流程,然後才能替換您的Entrust組織驗證憑證或延伸驗證(EV)憑證。
是的,對於網域名稱驗證憑證,我們只驗證網域名稱,這需要幾秒的時間。它只要求您進行簡單、快速的作業。
有三個原則讓DigiCert和我們的憑證授權中心(CA)業務成為領先的數位信任提供商。
首先,我們努力遵循明確的流程,並使用PKILint等專門開發的工具來降低風險。
其次,我們與CA/瀏覽器論壇密切合作,快速透明地應對問題;當問題出現時,我們迅速解決問題。
最後,我們是標準制定機構的積極參與者,確保我們不僅遵守標準,而且為優化標準助力以造福行業。
我們認為,在這一事件中從未有過DigiCert不受信任的風險,因為我們一瞭解到錯誤就報告了這個問題,並且我們與客戶和主要瀏覽器供應商合作,確保按照規定的時間表替換受影響的憑證。
Google在其不信任Entrust的公告中表示:“在出現問題時,我們希望CA擁有者承諾進行有意義的、可證明的變革,從而實現有證據支撐的持續改進。” DigiCert盡全力儘快完成這些變革,我們與Chrome集團和其他瀏覽器供應商密切合作,共同糾正錯誤,儘量減少對客戶的干擾。
CA/B論壇不會做出信任/不信任CA的決定。這些決定是由使用憑證的應用程式供應商做出的,其中絕大多數是大型瀏覽器供應商(尤其是Google Chrome)。
討論這些問題的Bugzilla論壇(位於CA Program)是開放且公開的。要警惕論壇中的個人意見,因為個人意見不一致,參與者之間往往需要時間才能達成共識。
只有連結到Entrust根憑證的TLS憑證受到影響,並且只有2024年11月12日或之後頒發的憑證受到影響。
Apple的公告主要聚焦於對用於TLS、s/MIME、時間戳記和電子郵件識別品牌指示器(BIMI,也稱為驗證標示)的Entrust根憑證的不信任。請參閱公告,以獲取有關用於這些功能的哪些特定根憑證不受信任的清單。
然而,如果您想替換其他Entrust憑證產品。在這種情況下,DigiCert也提供解決方案來管理S/MIME、程式碼簽章、文件簽章、驗證/通用標示憑證,以及其他類型的基於PKI的憑證安全。
DigiCert Trust Lifecycle Manager可大規模適應企業PKI,並與您現有的架構共同作業。Trust Lifecycle Manager能讓您發現由任何TLS/SSL源所頒發的憑證,而不僅僅是來自DigiCert或Entrust的憑證。我們為公共和私人PKI提供自動化,而且Trust Lifecycle Manager提供了一個安全的勞動力管理平台,因此您可以輕鬆實作角色型存取控制。
DigiCert為受此事件影響的一些客戶提供優惠。請與我們聯絡以瞭解更多詳細訊息。
如果您已受到影響, Chrome、Safari和Firefox最新版本的使用者將在嘗試存取您的網站時出現錯誤。如果您不清楚自己所擁有的憑證或憑證由誰頒發,那麼您應該對加密資產進行清查。DigiCert可以幫助您創建清單。請在這裡聯絡我們,獲取定制的移轉方案或使用我們全新的Entrust Discovery Connector獲得幫助。
11月12日之前頒發的Entrust TLS憑證沒有迫在眉睫的問題。然而,隨著這些憑證接近到期日期,您將需要使用來自DigiCert等受信任的公共憑證頒發機構的TLS憑證對其進行替換。
Chrome和Firefox的公告只提到了對Entrust TLS憑證的不信任。Apple的公告明確表示不信任用於TLS、s/MIME、時間戳記和電子郵件識別品牌指示器(BIMI)的Entrust根憑證。請參閱Apple公告以獲取用於哪些功能的特定根憑證不受信任的清單。
Google和Mozilla根程式的決定適用於從Entrust根頒發的、已簽章的憑證時間戳記(SCT)日期在2024年11月11日之後的公共TLS憑證。該決定目前不影響Entrust頒發的其他公共憑證,如程式碼簽章或S/MIME憑證。
您應該諮詢您的法律顧問。
您需要與一家在不信任事件中幫助客戶移轉方面富有經驗的供應商合作。常見的第一步是清查所有加密資產。然後,您可以確定需要立即解決的問題,並規劃應該進行的任何其他變革與改進。
是的。需要明確的是,自11月12日起,如果您修改現有的Entrust TLS憑證、更新憑證金鑰或續訂憑證,則產生的(新)憑證將不受信任。
DigiCert提供屢獲殊榮的即時支援服務、定制和維護,以便在整個憑證生命週期中更輕鬆地進行頒發、管理和緩解。DigiCert以客戶支援和與客戶合作以滿足其所有憑證需求而聞名。Let’s Encrypt發揮著重要作用,但其不提供所有憑證類型、管理主控台、即時技術支援或憑證生命週期管理等複雜的輔助服務。您可以使用CertCentral管理您所有的DigiCert憑證,或Trust Lifecycle Manager管理其他憑證授權中心所頒發的憑證。
是的,但至少有一個已發佈的因應措施。引用Chrome不信任公告:
從Chrome 127開始,企業可以透過在Chrome所執行的平台上安裝相應的根CA憑證作為本地受信任根的方法(例如作為受信任根CA安裝在Microsoft憑證存放區中)來逾越Chrome根儲存的約束,如本部落格文章中Entrust部分所述。
Android上的Chrome使用Chrome根儲存,因此受到不信任的影響。重要的是,與所有iOS軟體一樣,iOS上的Chrome必須使用Apple根儲存,因此不一定受到影響。但之前Chrome已經封鎖了程式碼中的根,並且Google已將不信任日調整到了11月12日,以配合Chrome版本的發佈。這可能表明他們將在更新的程式碼中封鎖這些根。
未來,如果Apple不信任Entrust,那將影響所有iOS和MacOS装置。
是的。目前僅限於WebPKI。政府CA是獨立的,不會直接受到影響。
是的,DigiCert Trust Lifecycle Manager將從您的Entrust帳戶中提取清單,並為您提供從DigiCert獲取新憑證的“便捷按鈕”。它還將為眾多系統和服務增添自動安裝和續訂的能力。
