最后甚至会从Chrome的UI中取消挂锁图标。

谷歌爸爸在上周四的博文中提到，他们将在今年9月发布的Chrome 69版本中移除“安全”标识这么做的目的是为了进一步推进全网加密。

自從我们在Chrome中引入安全标识网络上的HTTPS使用情况变得十分显著。既然那么顺我们决定顺水推舟移除这个标识。因为用户的体验应当建立于網络默认情况下是安全的而在出现问题时才会被警告。鉴于我们马上要着手标记所有HTTP网页为“不安全”我们将逐步移除Chrome的积极安全标識，以便默认未被标记的网站才是安全的这个计划预计从今年9月的Chrone 69开始执行。

尽管Chrome的“安全”标识UI总被人津津乐道这其实并不是一个佷好的点子。毕竟这年头霸屏使用的HTTPS的网站里有很多是钓鱼网站。明明是钓鱼网站却偏偏因为用了HTTPS而被标记成了安全，显然是不合理嘚现在谷歌提出的作法，或许能改善如今的局面所以新的UI会长这样：

在目前的最新版本，即Chrome 67中谷歌已将协议头https省略了。更进一步將仅留下挂锁。最后完全取消所有标识

负责Chrome安全的谷歌产品经理Emily Schecter在近日发布了个keynote解释为什么谷歌决定不再显示协议、进一步简化地址栏嘚UI的原因。

此外从Chrome 70开始（今年10月发布），谷歌将进一步丧心病狂地加强“不安全”标识的显示和波及范围比方说，你在HTTP页面里连字都咑不了

这个新的UI意味着EV证书会成为所有SSL证书中唯一一个带皇冠会员特殊标记特权的。而许多非CAB论坛的会员早在N年前就讨论着要把EV证书嘚标识给做掉了。

世事难料对谷歌的这一决定，您怎么看

说好的四月三十日没能实现，强制证书透明度还得等到七月份

上周我们在攵章中提到，所有在2018年4月30日签发的SSL证书都必须记载到证书透明日志不然用户在浏览网站时就会收到整页的不安全警告。然而事与愿违盡管从证书透明制诞生以来各大浏览器厂商都在尝试将其实践，谷歌去年还给了证书颁发机构一年的时间、推迟了进程

而这回，谷歌给嘚信息显得更含糊让人难以解读。 例如CT截止日期已过，但谷歌直到7月份才开始执行 谷歌其实可以明确表示，这只会影响在截止日期の后发布证书的网站也就是说，2018年4月30日之前发布的任何证书都不用载入证书透明制

事实上，4月30日的截止日期是针对证书颁发机构的這仅仅是业内变动，与客户无关如果现在一家CA给你发了张没进证书透明制的证书，那基本上是误签发没跑了要是你运气不太好，真得叻张这样的证书你在Chrome 68发布之前（7月中旬）还有机会做调整。等到7月份Chrome 68正式版发布了使用不进证书透明制的证书才会真正波及您的用户。

有一个方法可以帮助您查看自家的证书是不是符合标准会不会触发警告：

希望测试新颁发证书以符合合规性的站点操作员和CA可以从Chrome 67开始在开发者工具中使用这个功能。“安全”面板将提供有关连接和证书的详细信息包括连接和证书是否适当地支持证书透明。或者对於想要测试被主动阻止的使用非法证书的站点管理员，可以通过以下命令行标识来实现：

• OpenSSL修复了，然后按回车当页面加载时，您可以確定您已经从的 这是浏览器在建立安全连接时执行的第一步，如果失败则不会再有任何事情发生。 然而这是证书的全部。 一旦浏览器在连接开始时完成了这些检查证书就可以被丢弃，不再有其他用途

  免费（DV）证书和收费(DV)证书的差别

  一场关于DV证书的有趣争议正因为Let's Encrypt嘚存在进行着。CA曾以高价售卖DV证书赚得盆满钵满直到两年前Let's Encrypt的横空出世打破了这一行业规则。免费证书无疑是诱人的Let's Encrypt不得不面对来自荇业、各界的质疑，但这与证书的质量有关吗

  所有由CA签发的证书都必须遵守CAB论坛制定的行业基准。这个文档事无巨细从CA必须验证域名所有者到一张证书能用多久，各种颁发证书的限制都囊括其中无论证书是不是收费，要求都一样

  除了控制证书颁发过程和策略的CAB论坛淛定的行业要求之外，我们也必须考虑这些标准： 所有的的私钥或者他们像无人机制造商大疆（DJI）不小心把私钥发布到了GitHub上，那么我现茬就可以使用这个证书来证明我就是证书的私钥的例子中PayPal基本上没有任何手段阻止我使用他们的证书。为了保护自己和客户他们唯一能够采取的真正的防御措施是，获取有效期较短的证书

  想象一下有效期分别为3年和3个月的证书之间的区别。假如在你获得了崭新的证書之后1个月，我设法攻击并窃取了你的私钥如果你的证书有效期是3年，那么我现在有2年11个月的时间来盗用这个证书并且会带来损害。這样访问者可以访问paypal.com，并在地址栏看到绿色https标识这种情况会持续2年11个月，用户甚至可能完全无法和真正的PayPal进行交流也不会有安全连接。这很不好现在考虑一下有效期为3个月的证书。如果在你获得它的1个月后我窃取了你的私钥，那么作为攻击者在证书过期之前，峩只有两个月的时间来盗用它这会迫使我更快采取行动，我现在拥有的行动时间变短了总体上看，你的用户面临的风险将会大大降低

  正如你在任何复杂的生态系统中所可能看到的那样，在更广泛的证书生态系统中情况已经发生了一些变化。新的字段被引入到证书中旧的字段被弃用，可接受的值也发生了变化特别是在与加密有关的时候，我们必须不断地适应新的威胁和更为强大的对手在这方面囿一些很好的例子，证书的最长有效期是一个关注点最近的例子就是SHA-1的弃用。

  证书颁发机构过去经常使用SHA-1散列算法来生成证书上的签名这种签名赋予证书所有的值，浏览器通过签名来验证证书是否来自可信任的证书颁发机构以及是否被篡改。而问题在于SHA-1算法越来越咾旧，越来越脆弱而最终，它将会不可避免地被破解在2014年10月的CAB论坛中，论坛决定从2016年1月1日起，不允许任何证书颁发机构颁发由SHA-1和SHA-256算法签名的证书这很好，我们有了截止日期但问题在于，在停止接受SHA-1算法签名的证书之前浏览器不会等待很长时间的。Chrome宣布从2017年1月1ㄖ起，他们将停止接受SHA-1签名的证书其他浏览器厂商也随之采取了同样的做法。这也是一件好事因为在那之后的几个月，

  这意味着，伱可以在2015年12月31日获得一个有效期长达39个月的证书该证书在2019年3月之前一直有效，而这种情况在2017年1月以后就不会出现了但是，这39个月的有效期还是太长了以致于整个行业没有足够的时间来应对新的攻击行为，这意味着网站会一直拥有有效的证书直到这些证书过期。

  SHA-1算法被弃用这样的情况并不是第一次出现而且肯定也不会是最后一次。我们还看到了其他的一些变化比如从1024位RSA密钥到2048位RSA密钥的转变，以及朂近Chrome浏览器对常用名称字段的弃用他们要求网站在证书过期之前重新颁发。作为一个更广泛的行业不断有新的威胁出现，需要我们应對所以39个月的时间太长了，我们必须能够在更短的时间内将所有现有证书的生态系统冲洗一遍

  证书的过期提供了一个很好的机会来更換与该证书一起使用的密钥。除了过期证书的自然更新之外如果你想要更换密钥，就必须重新颁发证书而这是不太不可能的。除了（峩最近已经它了Chrome浏览器也了弃用它）之外，你应该至少每年都要更换一次你的私钥而当证书最长有效期是39个月或者是825天的时候，大多數密钥更换周期实际上都会达到这一时间上限而不会比这个时间短。这是一种糟糕的卫生习惯而且一种密钥的使用时间越长，它就越囿可能面临安全风险只要有可能，我希望看到尽可能短期的密钥而不希望看到静态的密钥。

  虽然这并不是迫在眉睫的问题但是，我們看到Chrome浏览器提出了一项新的要求，即所有证书都需要在证书透明方面合格因此在接下来的几个月里，它将成为非常值得考虑的事情是一个非常棒的新要求，应该会在2018年4月实现这将要求所有证书颁发机构将它们颁发的所有证书记录到公开日志中，这些日志可以接受審查这意味着，任何证书颁发机构的业务对我们来说都将有充分的透明度（这些超级强大的机构实际上是网络加密通信的守护者）这樣，就没有人能够在你不知情的情况下获得你的域的证书要通过证书透明系统的检查，一份证书必须包含

  来自3个独立日志中的至少3个签洺证书时间戳（SCT）如果一个证书不包含3个有效的SCT，那么它就不会通过证书透明系统的检查而浏览器则会拒绝它。如果证书日志在证书嘚有效期内被取消资格那么从该日志开始，该证书内的SCT将会失效从而使证书不再满足证书透明系统的要求。

  现在为了应对这一机制，一个证书颁发机构可以通过在证书中放置多个SCT来提供保护以避免被证书透明系统取消资格，但是问题仍然存在证书的有效期越长，僦越有可能出现日志不合格的情况那将会使证书无法通过检查，从而被证书透明系统拒绝较短的证书有效期有助于防止出现这一问题，而且相对于有效期825天的证书在有效期90天的证书中包含较少的SCT也安全多了，同时证书也会更小

  想象一下，你每5年只做一次任务你觉嘚你还会记得那些步骤吗？你在2013年做的事情在你的脑海里会是新鲜的还是模糊的我最近看到的一件事就是一些大网站提供了过期的证书。

  现在我确信经常会有一些真正的错误和疏忽，但是我听说过很多公司的故事他们只是忘记了。有人买了一个证书该证书会在3年多鉯后失效，这是一个很遥远的日子然后它就被遗忘了。不仅如此当需要进行更新时，没有人记得整个操作过程、谁做的、他们是怎么莋的或者文档在哪里让证书更新成为一个常规过程的一部分，它们很快就会成为你所做的那些甚至不需要“思考”的任务之一但是，伱知道还有什么比这更好的吗那就是自动化。

  关于让我非常喜欢的一件事并不是他们是一家免费的证书颁发机构而是他们的证书更新過程可以是完全自动的。不要误解我的意思降低成本对很多人来说是件大事，但我已经很乐意为证书付费了对我来说，关于Let's Encrypt的好处哽加重要但又较少被谈到的一件事是，你怎样才能获得证书我（博主）对Let's Encrypt曾经讨论过很多，如我的、我的非常酷的带表情的子域、、我嘚脚本以及

  尽管我所做的所有关于Let's Encrypt的事情都很酷，但我要说其中最好的一件事绝对是，通过使用一个简单的cron 作业我就可以自动更新峩所有的证书，而没有任何事情需要担心

  见鬼，我甚至是在我的Ubiquiti设备上操作的！Let's Encrypt只颁发有效期为90天的证书如果你想要手动更新的话，那将是一个很大的问题我们想要频繁的更新，但是当你获得更多的证书时手动的操作就变得更加困难了，这就是自动更新变得必不可尐并且我还要继续向那些听我讲话和接受我培训的每一个人推广自动更新的原因可以消除错过更新的风险，可以消除人为错误的风险還可以降低获取和更新证书所涉及的成本。为什么不喜欢它呢我意识到，现在它可能并不是一个对每个人来说都切实可行的选择但是洎动更新的整体概念对几乎所有人来说都是全新的。随着时间的推移这只会变得越来越好。今后将会有更多的工具、更多的服务和更多嘚产品在这方面为你提供帮助所以，也许不是今天或者下周但这肯定会很快发生的。

  当你的证书颁发机构太任性的时候怎么办

  诚然這是一个小得多的问题，但仍有可能发生现在，我们看到了对Symantec公司作为一个证书颁发机构的更广泛的不信任而网站不得不在其证书到期之前进行更换。你可以很容易地从Symantec公司得到一份有效期为39个月的证书但该证书在你购买后不到一年就会停止工作。如果替换证书是你嘚工作中的一个常规部分而不是每3年才会去做的一些奇怪的步骤，那么更换证书就会容易得多

  我们正朝着正确的方向前进

  我们确实是茬朝着正确的方向前进，我很高兴看到我们不仅在加密整个互联网而且在证书有效期的缩短方面都取得了进展。随着我们在整个互联网仩颁发越来越多的证书网上的问题只会越来越与更多的站点有关。如果你想要开始把HTTPS部署到你的网站上那么现在就是这么做的最好时機。选择有效期短的证书尽可能多地考虑自动化过程，这样可以帮你更好地入门如果你使用https已经有很长时间了，可能你用的是有效期為39个月的证书也许现在是时候考虑用更新、更快、更简单、更便宜的方式来替换旧的证书更新过程了。我们需要继续让互联网加速向https转變并继续缩短证书的最长有效期，但这并不意味着你必须获得具有最长有效期的证书你也可以选择有效期更短的证书。

  这里的另一个觀点是你可能会遇到EV证书的问题——EV证书真有学术论文说得那么好么？答案是：不EV证书本质上与上面列出的几乎所有观点相违背。EV证書很难获得获得它需要有一个漫长的过程，所以人们想要尽量避免这样做这迫使人们为他们的证书上选择更长的有效期，以避免这种艱难的过程人们越来越倾向于选择更长有效期的证书，这不是我们希望看到的不仅如此，证书颁发机构还通过打折促销手段来积极鼓勵人们购买更长有效期的证书所以网站又也有了财务方面的动机去做错误的事情。

  EV证书的另一个问题是它是反自动化的。获得一个EV证書需要人工操作过程再加上完成这一过程需要数小时甚至数天，这意味着没有办法自动完成你将不得不继续手动地获取和管理这些证書，这花费太多精力了如果你需要在被攻击后快速更换你的密钥和证书，这对你也是不利的总的来说，我们将继续推动密码有效期变嘚更短由于很好的理由，短期密钥更受欢迎而我们越努力地降低证书的预期寿命，情况就会越好

虽然谷歌和赛门铁克之间的冲突在詓年夏天或多或少得到了解决，但这些决策的影响仍将有所体现

Chrome 66已经发布到Canary和Dev频道，这意味着受影响的网站已经在影响这些Chrome频道的用户 如果受影响的网站在2018年3月15日之前不替换其证书，则Chrome Beta用户也将开始遇到此类问题 如果您的网站目前在Chrome Canary中显示错误，强烈建议您尽快更换您的证书

如果你的网站在浏览时出现这个状况，请马上联系你的SSL供应商

7月20日左右，Chrome 70将有稳定版本 此时，所有Symantec SSL证书都将停止工作 如果您的SSL证书尚未于2017年12月1日或之后从DigiCert的根源颁发，则从Chrome 70开始无法使用SSL证书相反，您的网站将收到安全警告

这是赛门铁克SSL证书最后的不信任期限，赛门铁克GeoTrust，ThawteRapidSSL和Verisign根证书将于7月20日正式下线。

所以换证书的事儿你都准备好了吗？